:: handcode :: Referrer-Spam blocken mit Apache und mod

Referrer-Spam blocken mit Apache und mod_rewrite

Immer wieder werden Webserver mit Referrer-Spam Anfragen zugeballert, die wegen wechselnder IPs aber nicht so ohne weiteres in der Firewall geblockt werden können.
Der eigentliche Sinn eines solchen Angriffs besteht darin, in Referrer-Statistiken möglichst weit nach oben zu klettern.

Und wozu das?

Das primärer Ziel ist die Anzeige des Referrers als Link, z.B. auf Seiten, welche die Top-Referrer anzeigen, entweder um das Suchmaschinen-Ranking zu steigern, oder ganz banal, um Menschen auf die Seiten des Angreifers zu locken, damit diese dort irgendwelchen Kram kaufen. Nunja.
Ein weiteres Ziel des Angreifers ist möglicherweise auch, dass jemand, der auf den Link des Referrers klickt, sich auf den Zielseiten Schadprogramme, XSS Hacks (spannend wenn der User Admin-Rechte hat) oder ähnliche mehr oder weniger kreative Bösartigkeiten einfängt.
Daher ist auch beim Anschauen von Webserver-Stats (Webalizer o.ä.) Vorsicht geboten! Nicht einfach überall drauf klicken! Nur so als Hinweis ;-)

Richtig fies, wenn auch vom Angreifer meist unbeabsichtigt, wird so ein Angriff dann, wenn jede dieser Anfragen von einer komplexen, Resourcen hungrigen Web-Applikation (einem CMS,Blog o.ä. ) beantwortet werden muss und dadurch die Performance des gesamten Systems in den Keller geht.
Dann wird aus einem simplen Referrer-Spam-Angriff schnell eine DOS-Attacke.
Web-Spam-Filter innerhalb der Applikationen, wie sie inzwischen z.B. die meisten Blogs bieten, helfen hier leider gar nichts. Bis solche Filter aktiv werden, ist die meiste Rechenarbeit der Applikation schon passiert.
Filter innerhalb einer Applikation helfen nur dem Moderator die Kommentare und Trackbacks sauber zu halten.

Es muss also geblockt werden BEVOR die Anfragen bis zur Applikation durchkommen.

Eine einfache aber wirkungsvolle, wenn auch manuelle und daher mühsame Variante ist es, Filter mit RewriteRules zu setzen.

Beispiel einer RewriteRule, die Anfragen anhand des Referers blockt:

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://www.boeserbube.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://www.noch-ein-boeser-bube.com.*$ [NC]
RewriteRule .* - [F]

Es wird hier geprüft, ob der Referrer mit einem der beiden Stringmuster übereinstimmt [OR], das [NC] Flag steht für nocase, die Prüfung ist also nicht casesensitiv.

Neben dem Referrer kann innerhalb der RewriteCond noch auf die anderen üblichen Server-Variablen geprüft werden.
Eine Liste mit weiteren Beispielen findet sich in der Dokumentation von RewriteCond.

Autor: Jens Giessmann in Apache am Donnerstag, 14. Juni 2007 um 21:07
Kommentare (4) | Trackback (1)

Tags für diesen Artikel: apache, blog, security, spam

Artikel mit ähnlichen Themen:

Trackbacks

Trackback-URL für diesen Eintrag

PingBack

Weblog: serversupportforum.de
Aufgenommen: Jul 01, 23:27

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Hallo Jens,

inwieweit bremsen eine Reihe solcher RewriteCond - Regeln eigentlich den Apache?

Bis zum nächsten PHPUGS - Treffen.

Grüße
Thomas

#1 Thomas (Homepage) am 29.06.2008 15:39 (Antwort)

Umsonst ist nix ;-)
Wirklich aussagekräftige Performance-Messungen habe ich selber aber noch keine gemacht.

Generell ist es aber so, dass es, wie auch im Vortrag zu mod_rewrite [1] erwähnt, einen Unterschied macht, ob man RewriteRules in .htaccess Dateien oder in der zentralen Apache-Conf erstellt, da .htaccess Dateien eben bei jedem Request neu eingelesen werden müssen, die Rules in der zentralen Apache-Conf aber nur einmal beim Start des Apaches.

Da du in deiner Frage speziell nach den RewriteCond Bedingungen fragst; Diese werden ja "nur" geprüft, wenn das Pattern der zugehörigen RewriteRule passt. D.h. wenn die Pattern der Rules nicht zu allgemein sind, werden die Conditions nicht bei jedem Request geprüft, kosten also nur bei den Requests, für die das entspr. Pattern passt.

Meine generelle Empfehlung zu RewriteRules ist aber ganz klar: Keep it simple!
Und das weniger aus Performance Sicht, als vielmehr aus der Sicht des Admins der ein zu komplexes Rule-Set nicht pflegen oder debuggen will ;-)

[edit] ich bin davon ausgegangen der Kommentar bezieht sich auf den Vortrag... Nunja, meine Antwort ist zwar nicht falsch, aber da hier ja praktisch nur RewriteCond Einträge ausgewertet werden, ist der Hinweis auf die "nicht zu allgemeinen Rules" hier eher fehl am Platz.

[1] http://www.handcode.de/blog/archives/49-PHP-User-Group-Stuttgart-Treffen,-Maerz-2008.html

#1.1 Jens Giessmann am 30.06.2008 13:56 (Antwort)

Danke für die Info. Wenn die Anzahl der RewriteCond nicht überhand nimmt, wird es kaum spürbar langsamer werden, denke ich mal. Einsatzort kann sowohl die .htaccess, als auch die Apache-conf sein.
Am besten, ich probiere es mal aus.

#1.1.1 Thomas am 01.07.2008 20:49 (Antwort)

Ein paar Conditions wirst du kaum, bzw. gar nicht merken. Es ist aber immer besser/schneller die Regeln in der Apache-Conf zu definieren, da der Apache .htaccess Dateien fuer jeden Request erneut einlesen muss (kein Cache) und je nach Regel auch noch einen internen SubRequest absetzt.
Am Besten mit "AllowOverride None" .htaccess Files komplett verbieten. Dann (er)spart man dem Apache schon die Suche nach diesen im Filesystem.
siehe auch:
http://httpd.apache.org/docs/2.2/mod/core.html#allowoverride

#1.1.1.1 Jens Giessmann am 01.07.2008 22:08 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden.
	Daten merken?