ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://forum.abakus-internet-marketing.de/

Werde angegriffen - was würdet ihr tun?

https://forum.abakus-internet-marketing.de/viewtopic.php?f=35&t=138908

Seite 2 von 2

Verfasst: 23.08.2017, 18:47
von Hanzo2012
Ich denke nicht, dass mir eine Agentur helfen kann. Bei den Bots handelt es sich um infizierte PCs, die für einen Angriff missbraucht werden. Deren Besitzer sind völlig ahnungslos. Der wahre Angreifer sitzt irgendwo im Verborgenen und steuert die Bots. Dabei besteht normalerweise noch nicht einmal eine direkte Verbindung zwischen den Bots und dem Angreifer.

Verfasst:
von

Verfasst: 24.08.2017, 08:22
von Hanzo2012
(Ich nutze diesen Thread jetzt als eine Art Blog ;))

Die Bots kommen immer noch. Ich denke, dass es sich um echte Chrome-Browser handelt, die durch eine bösartige Extension in eine Bot-Armee verwandelt wurden. Zum Glück für mich definiert diese Extension eine globale JavaScript-Funktion (habe ich herausgefunden, indem ich die Bots ausspioniert habe). Anhand dieser Funktion kann ich die Bots zuverlässig erkennen und durch endlose Reservierung von Speicher abstürzen lassen.

Verfasst: 24.08.2017, 10:57
von nerd
Woran oder wie erkennt man diese art von bots, oder hast du genauere infos um welche extention es sich handelt?
Hiermit sollte es ja einfach sein, eine gemeinsame extention zu finden wenn du relativ viele verschiedene besucher bekommst:
https://stackoverflow.com/questions/290 ... gle-chrome

Verfasst: 24.08.2017, 17:10
von Hanzo2012
Klang zunächst vielversprechend. Bei mir in der Entwicklerkonsole existierte chrome.management allerdings nicht. Das kann man wohl nur benutzen, wenn man selbst eine Extension ist, nicht jedoch von einer Webseite heraus.
Ich möchte den Namen der Variable nicht verraten. Wenn man bei Google danach sucht, findet man absolut nichts. Das sollte am besten so bleiben. Jedenfalls existiert diese globale Variable (eigentlich ist es eine Funktion), die in einem normalen Chrome-Browser nicht existiert, und so erkenne ich die Bots. Die bekommen dann Fake-Werbung statt AdSense & co. - idealerweise merkt der Angreifer dann nicht, dass ich ihn verarsche.
Mal schauen, wie es weiter geht. Irgendwann wird der Angriff wohl aufhören.
Übrigens habe ich in den letzten Tagen ungewöhnlich viel Spam von Website-Optimierern und anderen Werbenetzwerken bekommen. Evtl. ist das deren Strategie, um neue Partner zu finden: Wenn der Publisher scheinbar mit AdSense zufrieden ist, sabotiert man ihn, bis er rausfliegt und dann zum potenziellen Partner wird. Ziemlich pervers, aber durchaus vorstellbar, oder?

Verfasst: 24.08.2017, 18:49
von Hanzo2012
Geistesblitz: Der Bot klickt ja gern. Was, wenn ich ihn dazu bringe, auf einen „Gefällt mir“-Button zu klicken? Wenn der Besitzer des gekaperten Browsers in Facebook eingeloggt ist, sehe ich seinen Namen und kann mit ihm in Kontakt treten, um ihn zu informieren und weitere Informationen zu sammeln ...

Verfasst:
von

Verfasst: 27.08.2017, 21:51
von Hanzo2012
Die Idee mit dem Facebook-Button hat leider nicht funktioniert. Ich wollte eigentlich als nächstes die Mausbewegungen der Bots aufzeichnen, aber dann hat der Angriff letzte Nacht plötzlich aufgehört - entweder weil er von vornherein zeitlich begrenzt war oder weil der Angreifer denkt sein Ziel erreicht zu haben ... Mal schauen, wie's weiter geht!

Verfasst: 29.08.2017, 15:00
von marc77
Erkennst du den Bot mit einem tail grep auf die access.log anhand des spezifischen User Agents?

Verfasst: 31.08.2017, 22:08
von Hanzo2012
Nein. Die User Agents sind ganz normale Chrome-Browser mit verschiedenen Versionsnummern und auch verschiedenen Windows-Versionen. Ich habe ja geschrieben, dass es sich wahrscheinlich um gekaperte Chrome-Browser handelt. Ich erkenne die Bots, indem ich u.a. auf das Vorhandensein einer bestimmten JavaScript-Variable teste, die es normalerweise nicht gibt.
Die Angriffe haben übrigens vor ein paar Tagen wieder angefangen, aber nun weniger intensiv. Ich denke, dass ich nicht das einzige Ziel des Angriffs bin, sondern dass das ein genereller Angriff gegen AdSense ist. Ansonsten wäre das einfach zu wenig (teilweise mehrere Stunden Pause zwischen zwei Bots).

Verfasst: 04.09.2017, 16:55
von Cash
Kannst du mir mal ein paar Logzeilen des Bots zukommen lassen
mit IP und UA. Ich würde da gerne mal einen Blick drauf werfen.

Verfasst: 04.09.2017, 17:38
von Hanzo2012
Wie gesagt, in den Logs ist absolut nichts Verdächtiges zu sehen. Das sind ganz normale Anfragen mit ganz normalen User Agents. IPs kann ich dir geben:

Code: Alles auswählen

12.11.192.2
12.153.96.146
12.246.84.234
24.3.95.176
24.3.248.46
24.12.246.115
24.15.97.152
24.16.216.39
24.19.104.78
24.54.191.252
24.60.16.57
24.73.170.94
24.74.30.13
24.126.69.79
24.153.189.226
24.158.115.247
24.159.115.76
24.179.254.209
24.196.74.62
24.197.116.64
24.214.224.90
24.218.85.0
24.255.253.148
32.215.150.233
40.133.168.173
45.18.173.147
45.36.208.49
50.5.62.252
50.41.227.102
50.50.148.53
50.80.85.21
50.80.214.125
50.108.69.31
50.194.74.197
50.196.54.141
63.157.123.242
65.26.89.255
65.32.155.185
65.36.88.156
65.117.184.122
65.128.71.168
66.76.80.156
66.91.241.170
66.168.71.204
66.169.242.206
66.229.230.73
67.5.127.58
67.44.224.34
67.45.96.88
67.132.6.210
67.177.212.148
67.183.148.231
67.184.32.66
67.187.72.90
68.11.94.196
68.45.252.216
68.46.92.62
68.46.132.22
68.50.174.167
68.54.253.101
68.57.212.210
68.96.30.176
68.103.174.39
68.110.161.100
68.118.4.73
68.196.26.175
69.29.116.224
69.178.11.65
69.244.17.164
69.246.236.148
70.16.96.76
70.62.8.202
70.109.151.118
70.125.20.193
70.126.68.110
70.138.139.65
70.162.129.253
70.178.180.71
70.195.0.23
70.240.47.99
71.11.73.136
71.12.151.32
71.31.103.51
71.37.84.186
71.38.167.176
71.41.140.237
71.49.88.54
71.59.178.151
71.194.232.55
71.222.26.39
71.229.177.106
71.232.208.161
71.237.187.52
72.25.3.122
72.25.31.180
72.49.243.247
72.128.65.109
72.133.72.100
72.184.28.48
73.0.60.6
73.6.46.124
73.14.252.33
73.19.220.85
73.22.148.87
73.27.68.191
73.37.150.119
73.50.66.199
73.76.40.35
73.129.108.22
73.129.228.249
73.131.166.106
73.131.200.38
73.139.144.99
73.152.247.102
73.153.202.25
73.155.162.120
73.163.242.32
73.166.44.239
73.179.73.110
73.186.148.83
73.187.112.65
73.190.108.86
73.200.89.35
73.203.3.51
73.221.51.130
73.221.255.164
73.229.175.21
73.232.170.126
73.236.101.195
73.239.173.83
73.252.8.72
73.255.161.57
74.129.168.233
74.130.157.223
74.131.85.106
74.131.154.5
74.131.166.85
74.192.185.98
75.1.72.153
75.43.53.68
75.65.48.120
75.110.224.91
75.128.149.80
75.134.11.239
75.136.23.72
75.169.187.133
75.169.243.144
75.174.201.74
76.106.1.64
76.119.194.10
76.125.203.233
76.190.24.66
76.190.36.107
76.201.0.38
76.232.213.93
76.250.56.29
76.255.151.91
96.38.8.178
96.95.153.254
96.234.239.26
97.85.123.216
97.86.29.105
97.87.69.148
97.87.205.230
97.101.136.254
97.104.205.120
97.119.97.53
97.127.53.118
98.21.217.9
98.102.229.210
98.150.131.135
98.170.195.193
98.191.193.36
98.195.230.78
98.211.214.124
98.217.5.205
98.226.87.76
98.228.167.42
98.235.69.127
99.0.116.241
99.7.68.105
99.32.77.28
99.57.22.18
99.57.82.245
99.69.92.129
99.100.192.253
99.166.167.39
99.169.93.6
99.178.84.26
99.187.245.167
99.196.110.25
104.2.201.75
104.169.247.143
104.181.43.29
104.190.115.113
107.137.154.225
107.202.85.1
107.208.202.109
108.68.177.20
108.83.193.193
108.84.64.202
108.190.180.23
108.196.17.218
108.205.164.250
108.207.27.163
108.208.216.73
108.211.250.36
108.221.155.29
108.238.232.65
108.245.177.9
108.251.254.82
139.55.36.170
159.118.111.144
162.201.77.231
162.237.32.107
172.1.2.220
172.2.83.155
172.2.125.126
172.14.167.19
172.58.62.233
172.78.110.164
172.243.93.37
173.14.216.50
173.15.5.141
173.20.97.117
173.24.28.179
173.26.194.123
173.29.232.107
173.174.191.180
173.175.231.18
174.49.224.226
174.50.36.252
174.61.133.0
174.70.129.94
174.70.182.94
174.102.238.63
174.103.150.84
174.125.32.240
174.140.92.233
184.1.41.116
184.15.125.251
184.16.133.171
184.100.167.105
207.254.246.19
209.76.180.214
209.180.172.1

Verfasst: 04.09.2017, 20:52
von Cash
Danke Dir!
Allerdings lässt sich aus einer IP-Liste ohne dazugehörigen Useragent kaum irgend was erkennen. Dazu ist es inzwischen zu einfach geworden Proxys zu verwenden.
Ich lass die Ips trotzdem durch unsere Datenbank laufen evtl. ergibt sich ja was.

Verfasst: 04.09.2017, 22:27
von Hanzo2012
Es sind keine Proxys, sondern normale Internetanschlüsse von Endkunden (deren Rechner gehackt wurde). Auch mit User Agent würdest du nichts erkennen. Es sind ganz stinknormale User Agents, z. B.:

Code: Alles auswählen

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36
Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.32 Safari/537.36
Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.10 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.32 Safari/537.36
Auffällig ist nur, dass es immer Chrome auf Windows ist. Das liegt wohl daran, dass die Sicherheitslücke, die genutzt wurde, um die Rechner zu hacken, spezifisch für Chrome und Windows ist. Außerdem scheinen alle aus den USA zu kommen.
Stell dir vor, dein Rechner wird gehackt - wie auch immer - und jemand installiert darauf Software, mit der mit Hilfe deines Browsers andere Seiten angegriffen werden. Genau das passiert hier, denke ich. Da hast du überhaupt keine Chance, wenn du dir nur IPs und User Agents anguckst, weil die einfach "ganz normal" sind. Die Leute, von deren Rechner aus der Angriff stattfindet, wissen höchstwahrscheinlich gar nichts davon.

Verfasst: 05.09.2017, 00:25
von Cash
Ist die erste IP 5.189.203.190 auf deiner Liste auch ein
normaler Internetanschluss?

Die Kunst einen Bot zu betreiben oder einen Angriff zu fahren ist es "normal" aussehen zu lassen!
:wink:

Verfasst: 05.09.2017, 05:45
von Hanzo2012
Wie gesagt, die Liste enthält auch einige Crawler. Ich kann sie nachher nochmal aktualisieren, so dass nur die 100%ig erkannten Klick-Bots drin sind.
Nachtrag: Liste aktualisiert!

Ich bekomme übrigens von gleichen IPs unterschiedliche User Agents. Die scheinen bei jedem Besuch zufällig ausgewählt zu werden.

Verfasst: 08.10.2018, 15:38
von heinrich
@ Annp Was soll das, alte Threads mit nichtssagenden Postings hochzuholen?
Alle Zeiten sind UTC+02:00
Seite 2 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de