.htaccess mit PHP bearbeiten

soggi

Hallo zusammen!

Mit HTML und CSS kenne ich mich zwar halbwegs aus, mit PHP aber quasi gar nicht...

Mal von Anfang an...

Aktuell leite ich diverse User-agents und Aufrufe (bestimmte Dateiendungen usw.) via mod_rewrite auf ein PHP-Script um, welches mir eine access.log mit den bösen Buben (bad bots wie Scraper, security checker usw.) erstellt. Das ganze ist aktuell eine Spielerei um die "Jungs" zu loggen und nicht auf die Seite zu lassen. Das Script stammt von hier, ich habe es nur etwas modifiziert/erweitert und an meine Bedürfnisse angepasst...woraus dann folgendes wurde:

PHP

<?php


$ip = getenv('REMOTE_ADDR');
$time = date("[d/M/Y H:i:s P]");
$method = getenv('REQUEST_METHOD');
$uri = getenv('REQUEST_URI');
$protocol = getenv('SERVER_PROTOCOL');
$referrer = getenv('HTTP_REFERER');
$userAgent = getenv('HTTP_USER_AGENT');


$msg = $ip . " - - " . $time . " \"" . $method . " " . $uri . " " . $protocol . "\" \"" . $referrer . "\" \"" . $userAgent . "\"";


writeToLogFile($msg);


function writeToLogFile($msg) {
     $today = date("Y_m_d");
     $logfile = $today."_log.txt"; 
     $dir = 'boesebuben';
     $saveLocation=$dir . '/' . $logfile;
     if  (!$handle = @fopen($saveLocation, "a")) {
          exit;
     }
     else {
          if (@fwrite($handle,"$msg\r\n") === FALSE) {
               exit;
          }

          @fclose($handle);
     }
}


?>

Alles anzeigen

Der nächste Schritt wäre jetzt, die IPs der bösen Buben in die .htaccess unter "deny from all" einzutragen. Ich habe schon nach Ansätzen gesucht, aber nichts brauchbares gefunden...kann mir jmd. helfen, die geloggten IPs in die .htaccess zu bekommen?

Viele Grüße
soggi

GrandAdmiralThrawn

"Deny from all" kennt keine IPs als Parameter, einfach weil es genau das tut: Den Zugang für alle in dem Pass, in dem die Deny Direktiven abgearbeitet werden zu verweigern. Das ist ein three-pass Vorgang, deswegen hat man üblicherweise auch eine "Order" Direktive in der .htaccess.

Der erste Pass verarbeitet alle Direktiven, die den ersten Parameter der Order-Direktive matchen. Pass 2 verarbeitet alle, die den zweiten Parameter matchen, und Pass 3 den Rest.

So z.B.:

Code

order deny,allowdeny from allallow from 12.34.56.78

Apache würde in Pass 1 zuerst alle sperren, dann in Pass 2 ausdrücklich nur 12.34.56.78 Zugang gewähren und in Pass 3 leer durchlaufen, da es keine weiteren Direktiven gibt. Das Endergebnis ist also, daß nur 12.34.56.78 auf den Host darf und sonst niemand.

Sprich, es gibt keine "Deny from all Liste". Was du willst ist eine Host-spezifische "Deny from" Liste, und das ist recht einfach. Den Code um Zeug in eine Datei zu schreiben hast du schon. IPs in fertigen Log Files hast auch. Alles was du tun mußt ist es, die aus den Logs zu fetchen und zeilenweise in deine .htaccess zu schreiben, so wie du auch deine $today . "_log.txt" baust, ausgehend von einer ansonsten leeren oder von Order/Allow/Deny Direktiven freien .htaccess. Alternativ von einer die mit "Order Allow,Deny" und "Allow from all" beginnt.

Ich schlage daher folgendes vor (ohne das auf Funktion geprüft zu haben, das obliegt dir! Da sind sicher noch genug Bugs drin, wie immer bei komplett ungetestetem Zeug von einem der sowieso kein PHP programmieren kann:

PHP

<?php


### User-configurable definition block. We assume a certain format in our source logs, which
### is always a space-delimited list of characters or strings, with the first string being
### a remote hosts IP address followed by at least one whitespace!


$htaccessFile = '/var/www/htdocs/mywwwroot/.htaccess'; # Our target .htaccess for blocking bad boys.
$sourceLogDir = 'boesebuben/';                         # Where our custom logs with IPs are.


### Lets open our .htaccess file for append and walk through all of those logs, one by one,
### fetching all IP addresses and pushing them to .htaccess:


$sourceLogFiles = scandir($sourceLogDir);           # Get a list of all log files into an array:
$sourceLogFiles = array_splice($sourceLogFiles, 2); # Cut away first two elements, which are "." and "..".
                                                    # We'll just assume the rest are files, not dirs.


if (!$htHandle = @fopen($htaccessFile, "a")) {      # Opening .htaccess file for appending.
  exit;
}


# Lets process all our log files from $sourceLogDir and push the IPs from them to .htaccess:
foreach ($sourceLogFiles as &$sourceSingleFile) {
  if  (!$logHandle = @fopen($sourceSingleFile, "r")) {       # Open current log file for reading.
          exit;
     } else {
       while(!feof($logHandle)) {                              # Walk through every line in that log file, until we reach EoF.
         $elementsOfLine = explode(' ', fgets($logHandle), 2); # Split each line into two elements delimited by whitespace.
         $ip = $elementsOfLine[0];                             # The first element is our IP, the second is the rest, which we discard.
         if (@fwrite($htHandle, "deny from $ip\n") === FALSE) {  # Append new 'deny from' directive to .htaccess
           exit;
         }
       }
     }
  @fclose($logHandle);  # Closing this log file.
}


@fclose($htHandle); # We're done, closing .htaccess.


# All processed log files should now be purged from $sourceLogDir to avoid redundant lines blocking the same IP
# in your .htaccess file.

Alles anzeigen

Das geht her, liest alle deine *.txt Log Files (in dem Folder sollte sonst nichts liegen!) ein, fetched die IP Adressen raus, und schreibt sie als "deny from" Lines in deine .htaccess! Oder das sollte er. Laufen tut das eben sicher nicht, wer weiß wo ich überall kleine Fehler hab. Na jedenfalls solltest die verarbeiteten Logs dann aus dem Logordner wegschieben oder löschen, damit beim nächsten Run keine doppelten Einträge in der .htaccess entstehen.

Hierfür gibt es übrigens auch fertige Lösungen für *nix Server, die das auf Basis von iptables machen (brauchst einen root Server), wie etwa [fail2ban].

soggi

Hey GAT,

danke für Deine Mühe, ich hatte den Thread schon als "begraben" gesehen!

Mir sind in den letzten Wochen zum Thema drei Sachen klar geworden, warum mein Ansatz für meine Situation eigentlich Käse ist.

1. Die meisten IPs sind dynamic von ISPs (meist infizierte Rechner!?)...die sollte man höchstens temporär sperren.
2. Basierend auf 1. bräuchte ich einen Mechanismus, der die IPs wieder entfernt.
3. Die .htaccess wird dann zu 95% eine Liste aus IPs sein.

-> Ohne fundierte Programmier-Kenntnisse (vll auch mit?) ist das einfach auf diesem Weg nicht zu bewerkstelligen.

Den Umgang mit "order deny,allow" <-> "order allow,deny" hab ich mir schonmal angesehen, die Funktionsweise ist mir also grundsätzlich klar. Ich werde mich demnächst mal erneut damit auseinandersetzen und mir das Script reinziehen, versuchen es zu verstehen und mir was nützliches zusammenbauen.

Wenn Du das alles selbst geschrieben hast, dann kannst Du auf jeden Fall wesentlich mehr PHP programmieren als ich...ich komm grad so mit dem Verständnis und Umbau des von mir verwendeten Scripts klar und das ist wohl echt nen ziemlich billiges Teil.

Zu iptables hab ich auch schon Sachen gelesen...bringt mir aber halt nichts, da shared Hosting.

Als Alternative bleibt dann nur noch was über MySQL...das wird wohl aber noch schwieriger...da muss ich nochmal fundiert recherchieren.

Viele Grüße
soggi

Bier.jpg

jo MySQL mit einer liste von ips ... und dann nach 30 tagen wieder freischalten.

soggi

Abgesehen davon, dass 30 Tage viel zu lange wären - 24h müssten reichen - übersteigt das meine Kenntnisse glaube extrem. Da muss ich mich Suchmaschinentechnisch nochmal kundig machen.

Viele Grüße
soggi

Bier.jpg

hmmh nimm HeidiSQL und richte dir damit die Datenbank ein.
Da kannst du dann auch Toll deine Befehle sehen die du brauchst um einen Datensatz anzulegen bzw zu loeschen

soggi

Da brauch man doch direkten Zugriff auf den Datenbank-Server? Hat man nicht bei Strato. SSH-Tunnel geht auch nicht...das Passwort dafür wurde geändert und mir nicht mitgeteilt. Bin nur mietfreier Gast auf dem Host.

Aber das Tool werd ich mir mal für die Zukunft merken.

Viele Grüße
soggi

GrandAdmiralThrawn

Das Script habe ich geschrieben, ja, tlw. abgeleitet aus dem von dir geposteten Code. Aber auf mein PHP Wissen - oder nennen wir es lieber "gefährliches Halbwissen" - sollte man sich trotzdem nicht ungeprüft verlassen!

Schade ist halt, daß du dir fail2ban nicht installieren kannst am Host, das erledigt die Aufgabe super. Diese tarpit hab ich auch auf der Arbeit für OpenSSH laufen, und die macht den Job in Verbindung mit iptables super. Nutzt dir halt leider nichts. Klar könnte man das Verhalten einfach nachstellen über das Skript und mit .htaccess, datenbankgestützt ist das natürlich gleich noch viel besser. Aber das ist für jemanden ohne nennenswerte Übung schon eine gewisse Arbeit.

Hab ich beim Aufmotzen der ursprünglich von Umlüx geschriebenen x264 Benchmarkliste auch gemerkt, wie mühsam sowas ist wenn man keinen Plan hat.

LoB

Was Du haben willst ist fail2ban. Das tut genau das geforderte (Logs auswerten und darauf reagieren) und bannt dann aber auch direkt auf IP-Ebene in der Firewall (iptables), nicht auf Applikationsebene. Auch das automatische Entfernen der IP nach vorgebener Zeit macht er automatisch.
Wenns darüberhinaus gehen soll und Du z.B. auch noch benachrichtigt werden willst, wäre OSSEC eine Variante.

Merke: Egal was Du willst, es hat schon jemand gebaut

Edit: Ups, GAT hat's schon geschrieben. Lesen bildet... sorry.

GrandAdmiralThrawn

Jo, er hat halt leider keinen root Server, das is das Problem..

soggi

Genau so wie GAT sagt ist es...es gibt auch schon fertige Sachen auf PHP<->MySQL Basis...die hauen mir aber zu viele Bots raus, die ich gewähren lassen würde...ich muss mal schauen, ob es eine nackte Lösung gibt.

Wenn ich mir das so vorstelle, müsste ich dann sicher in alle htms ein PHP Schnipsel einbauen und die Dateien in *.(phtml|php) umbenennen. mich ängstigt auch etwas die Bearbeitungszeit...jeder Zugriff erzeugt einen Datenbankzugriff. :wacko:

Mal so nebenbei...hat jmd von euch Erfahrungen mit uberspace.de? Falls ich doch mal wieder umziehen muss...erscheint mir ziemlich kompetent und schön nerdy...müsste mich sicher noch schön in shell/SSH-Kram einarbeiten...aber hätte ich irgendwie auch mal Bock drauf. Die größere Frage ist whs eher wie die Performance bei den Jungs ist.

Danke für eure Vorschläge!

Viele Grüße
soggi

GrandAdmiralThrawn

Zitat von soggi

Wenn ich mir das so vorstelle, müsste ich dann sicher in alle htms ein PHP Schnipsel einbauen und die Dateien in *.(phtml|php) umbenennen. mich ängstigt auch etwas die Bearbeitungszeit...jeder Zugriff erzeugt einen Datenbankzugriff. :wacko:

Wenn du wüßtest, wieviele Datenbankzugriffe und wieviel miesen PHP Code manche Pentium Pro Prozessoren aushalten müssen... Aber generell: Jedes moderne Web ist auch nichts anderes: Foren, CMS', usw., und die sind sicher viel intensiver.

Generell ist MySQL aber sehr schnell und sehr sparsam mit CPU Ressourcen, wenn man keine idiotischen und extrem verschachtelten Queries auf Monsterdatenbanken losläßt. Selbst bei sehr wenig Code wird das PHP noch eher Last fabrizieren, was sich aber durch Bytecodecaches wie eAccelerator oder Zend Cache stark reduzieren läßt.

Uberspace kenne ich leider nicht, bzw. ich kenn's nur namentlich, hab's aber nie verwendet. Hätte sonst auf die JiffyBox verwiesen, aber irgendwie scheinen die übernommen worden zu sein, schade. Aber die hatten ein super Managementinterface, man konnte sogar per Browser in eine root Shell auf der Box - sofern man dem traut. Rechnen sekundengenau ab, nur weiß ich jetzt nicht, ob dir die ~15€/Monat Maximalpreis für die kleinste Box nicht schon zuviel sind.

soggi

Wie du schon mitbekommen hast, bin ich da halt etwas ängstlich. Bzw. will ich nicht unnütz Ressourcen verschwenden...das ist irgendwie schon immer mein Credo.

Dieses Jiffybox wurde wohl von domainfactory übernommen. Ein Umzug ist noch nicht absehbar...mich hat nur Uberspace von der Beschreibung her gereizt...klang nach Freaks, die einfach ihr Ding aufbauen und durchziehen wollen, ziemlich technikaffin, kein Marketing-Geblubber.

Ich hab halt finanziell überhaupt keine sichere Zukunft, deswegen scheue ich mich grundsätzlich erstmal vor zusätzlichen Ausgaben...aber wenn's irgendwann nicht anders geht, muss es halt. Ich hatte vor 1 1/2 Jahren mal überlegt @Hetzner für günstig (3,90 EUR glaube)...aber irgendwie kein gutes Gefühl dabei.

Wenn ich mal wieder Zeit hab, werd ich wohl mal Richtung PHP<->MySQL schielen, geht halt vorwiegend darum Bots mit wechselnden UAs bzw solche, die in meine Falle tappen für einen gewissen Zeitraum per IP zu blocken.

Viele Grüße
soggi

soggi

Da die meisten unerwünschten Zugriffe von irgendwelchen Server-Farmen kommen, löse ich das Ganze erstmal über die .htaccess:

Code

# block some hoster ranges


SetEnvIf Referer "\.(apk|dll|exe|rar|ts)$" bad
SetEnvIf Request_Method "(DEBUG|DELETE|OPTIONS|PUT|TRACE|TRACK|(UN)?LINK)" bad
SetEnvIf Request_URI "/robots\.txt$" !bad
SetEnvIf Request_URI "/403\.php$" !bad
SetEnvIfNoCase User-Agent "(archive\.org_bot|Cliqzbot|DuckDuckGo|facebook|FlipboardProxy|ia_archiver|safesearch\.avira\.com)" !bad


Order deny,allow


deny from env=bad


# 1&1 Internet AG / AS8560
deny from 88.208.192.0/18


# Accelerated IT Services GmbH / AS31400
deny from 82.211.0.0/18


# Amazon.com, Inc. / AS14618
deny from 50.16.0.0/14
deny from 54.72.0.0/13
deny from 54.80.0.0/12
deny from 54.144.0.0/12
deny from 54.160.0.0/12
deny from 54.196.0.0/15
deny from 54.198.0.0/16
deny from 54.208.0.0/14
deny from 54.224.0.0/12
deny from 184.73.0.0/16


# Amazon.com, Inc. / AS16509
deny from 23.20.0.0/14
deny from 46.51.128.0/15
deny from 52.0.0.0/11
deny from 54.200.0.0/14


# B2 Net Solutions Inc. / AS55286
deny from 23.229.0.0/17


# Blue Coat Systems, Inc. / AS11957, AS27471
deny from 8.28.16.0/23
deny from 103.246.36.0/22
deny from 199.19.248.0/21
deny from 199.91.132.0/22
deny from 199.116.168.0/21


# China Telecom Next Generation Carrier Network / AS4809
deny from 103.224.248.0/22


# ColoCrossing / AS36352
deny from 23.94.0.0/15
deny from 104.168.0.0/17
deny from 107.172.0.0/14
deny from 172.245.0.0/16
deny from 192.3.0.0/16
deny from 198.12.64.0/18
deny from 198.23.128.0/17


# DataShack, LC / AS33387
deny from 107.150.32.0/19
deny from 142.54.160.0/19
deny from 198.204.224.0/19


# Digital Ocean, Inc. / AS393406
deny from 104.131.0.0/16
deny from 188.166.0.0/16


# EGIHosting / AS18779
deny from 50.117.0.0/17


# FOP ILIUSHENKO VOLODYMYR OLEXANDROVUCH / AS57311
deny from 93.179.68.0/23
deny from 95.181.178.0/23


# GoDaddy.com, LLC / AS26496
deny from 50.62.0.0/15
deny from 104.238.64.0/18
deny from 184.168.0.0/16
deny from 192.169.128.0/17
deny from 192.186.192.0/18
deny from 198.71.128.0/17
deny from 216.69.128.0/18


# Hetzner / AS24940
deny from 5.9.0.0/16
deny from 46.4.0.0/16
deny from 78.46.0.0/15
deny from 85.10.192.0/18
deny from 88.198.0.0/16
deny from 136.243.0.0/16
#deny from 138.201.0.0/16
deny from 144.76.0.0/16
deny from 148.251.0.0/16
deny from 176.9.0.0/16
deny from 178.63.0.0/16
deny from 188.40.0.0/16
deny from 213.133.96.0/19
deny from 213.239.192.0/18
deny from 2a01:4f8::/29


# Hosting Operator eServer.ru Ltd. / AS42244
deny from 31.148.221.0/24


# Hosting Solution Ltd. / AS14576
deny from 104.193.252.0/22
deny from 162.244.32.0/22


# Hostinger International Limited / AS47583
deny from 185.28.20.0/22


# Hostwinds LLC. / AS54290
deny from 23.238.0.0/17
deny from 108.174.192.0/20


# JSC "Prime-Line" / AS42861
deny from 46.151.52.0/22


# Limestone Networks, Inc. / AS46475
deny from 74.63.192.0/18
deny from 216.144.240.0/20


# Netelligent Hosting Services Inc. / AS10929
deny from 209.44.96.0/19


# Nobis/Ubiquity / AS15003
deny from 23.19.0.0/16
deny from 23.80.0.0/14
deny from 23.104.0.0/13
deny from 70.32.32.0/20
deny from 108.62.0.0/16
deny from 108.171.32.0/19
deny from 108.177.128.0/17
deny from 142.91.0.0/16
deny from 142.234.0.0/16
deny from 172.240.0.0/15
deny from 172.255.0.0/16
deny from 173.208.0.0/17
deny from 173.234.0.0/16
deny from 174.34.128.0/18
deny from 216.6.224.0/20


# OJSC "Ufanet" / AS41704
deny from 94.41.160.0/19
deny from 95.105.96.0/19
deny from 136.169.240.0/20


# OVH / AS16276
deny from 5.39.0.0/17
deny from 5.196.0.0/16
deny from 37.187.0.0/16
deny from 142.4.192.0/19
deny from 167.114.0.0/16


# PE Gritcun Oleksandr Viktorovich / AS47889
deny from 93.175.224.0/20
deny from 213.110.128.0/19


# PEG TECH INC / AS54600
deny from 107.148.0.0/15


# Petersburg Internet Network ltd. / AS44050
deny from 31.184.192.0/18


# PlusServer AG / AS8972
deny from 188.138.0.0/17


# Poney Telecom / AS12876 (http://www.as12876.net/)
deny from 62.4.0.0/19
deny from 62.210.0.0/16
deny from 195.154.0.0/16
deny from 212.47.224.0/19
deny from 212.83.128.0/18
deny from 212.129.0.0/18
deny from 2001:bc8::/32


# PP SKS-LUGAN / AS35804
deny from 91.200.12.0/23


# Server Central Network / AS23352
deny from 216.246.0.0/17


# Serverius Holding B.V. / AS50673 (for Hosting Solution Ltd.)
deny from 31.148.219.0/24
deny from 31.148.220.0/24


# SoftLayer Technologies Inc. / AS36351
deny from 50.22.0.0/15
deny from 50.97.0.0/16
deny from 69.164.192.0/19
deny from 108.175.144.0/20
deny from 184.172.0.0/15


# Unified Layer / AS46606
deny from 50.87.0.0/16


# VolumeDrive / AS46664
deny from 104.193.8.0/22
deny from 104.245.96.0/21
deny from 173.242.112.0/20
deny from 199.115.228.0/22
deny from 199.168.136.0/21
deny from 204.124.180.0/22


# Webfusion Internet Solutions / AS20738
deny from 94.136.32.0/19


# WholeSale Internet, Inc. / AS32097
deny from 69.30.192.0/18
deny from 69.197.128.0/18
deny from 173.208.128.0/17
deny from 204.12.192.0/18

Alles anzeigen

Mit dem HTTP 403 raffen die es vll mal, dass sie nicht erwünscht sind. In die 403.php werde ich dann auch das bewährte Log-Script einbauen. Es werden sicher noch "einige" IP-Ranges hinzukommen.

BTW krass, dass durch die reservierten Bereiche, die nicht geroutet werden, erstmal ~600 Mio IPv4 Adressen verpulvert werden.

Viele Grüße
soggi