Discussion:
Ist 23.100.232.xxx (Beispiel) echt oder faked? Sperrung in .htaccess sinnvoll?
(zu alt für eine Antwort)
Eugen Gregor
2022-04-02 08:13:27 UTC
Permalink
Ich helfe einem Nachbarn bei seiner Wordpress-Site.
Sein Server-Logfile sagt: seine Site wird häufig von Microsoft (MS)
besucht.
Manchmal wird unter einer solchen MS-IP auch eine Brute-Force-Attacke
versucht.

whois.com sagt: ja, das ist MS,

"nslookup" auf dem PC meldet:
nslookup 23.100.232.xxx
Server: [23.100.232.xxx]
Address: 23.100.232.xxx
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an 23.100.xxx.

Check bei Bing:
www.bing.com/webmasters/ meldet:
23.100.232.xxx ist KEIN überprüfter Bingbot


Frage: IP bzw. IP-Bereich in .htaccess sperren, ist das sinnvoll?
Oder ist das eher eine faked IP und eine Sperre somit sinnlos?
Danke vorab für Hinweise.
--
Eugen Gregor
Christoph Schneegans
2022-04-02 19:43:30 UTC
Permalink
Post by Eugen Gregor
Manchmal wird unter einer solchen MS-IP auch eine Brute-Force-Attacke
versucht.
Wenn ein Bot eine Website einmal vollständig abgrast, indem er Links
innerhalb der Website folgt, würde ich das noch nicht als
Brute-Force-Angriff bezeichnen, auch wenn dabei ggf. erheblicher Traffic
verursacht wird. Mißbräuchlich wird es m.E. erst, wenn der Bot URLs auf
Verdacht abruft, um so nicht-öffentliche Resourcen zu finden oder
bekannte Sicherheitslücken zu testen.

Ich verstehe allerdings nicht, warum du hier nicht die echte IP-Adresse
nennst.
Post by Eugen Gregor
Frage: IP bzw. IP-Bereich in .htaccess sperren, ist das sinnvoll?
Wahrscheinlich besser schon vorher per Firewall, etwa mittels

ufw prepend deny from 192.0.2.1

per ufw. Aber das ist wahrscheinlich ein Kampf gegen Windmühlen.
--
<https://schneegans.de/windows/safer/> · SAFER mit Windows
Eugen Gregor
2022-04-02 21:44:48 UTC
Permalink
On Sat, 2 Apr 2022 21:43:30 +0200, "Christoph Schneegans"
<***@schneegans.de> wrote:

Thx für die Hinweise.
Post by Christoph Schneegans
Ich verstehe allerdings nicht, warum du hier nicht die echte IP-Adresse
nennst.
Ist *imho* nicht erlaubt, deshalb habe ich die letzten 3 Stellen
maskiert.
Post by Christoph Schneegans
Post by Eugen Gregor
Frage: IP bzw. IP-Bereich in .htaccess sperren, ist das sinnvoll?
Wahrscheinlich besser schon vorher per Firewall, etwa mittels
Der Blog hat die Ninja Firewall, diese meldet manchmal Brute Force
Attacks und behauptet auch, sie abzuwehren.
--
Eugen Gregor
Marco Moock
2022-04-17 16:39:54 UTC
Permalink
Post by Eugen Gregor
On Sat, 2 Apr 2022 21:43:30 +0200, "Christoph Schneegans"
Post by Christoph Schneegans
Ich verstehe allerdings nicht, warum du hier nicht die echte
IP-Adresse nennst.
Ist *imho* nicht erlaubt, deshalb habe ich die letzten 3 Stellen
maskiert.
Ist dem wirklich so?
Wer soll sich beschweren?
Post by Eugen Gregor
Der Blog hat die Ninja Firewall, diese meldet manchmal Brute Force
Attacks und behauptet auch, sie abzuwehren.
Gegen was?
Ich kenne solche Attacken nur gegenüber Kennwortfeldern.
Hast du sowas implementiert?

Eugen Gregor
2022-04-03 08:32:04 UTC
Permalink
On Sat, 2 Apr 2022 21:43:30 +0200, "Christoph Schneegans"
<***@schneegans.de> wrote:

Thx füd die Hinweise, aber meine Frage war eigentlich: ist so eine IP
als MS-Original oder eher als MS-Fake einzustufen?
--
Eugen Gregor
Christoph Schneegans
2022-04-03 16:09:07 UTC
Permalink
Post by Eugen Gregor
Thx füd die Hinweise, aber meine Frage war eigentlich: ist so eine IP
als MS-Original oder eher als MS-Fake einzustufen?
Ich kann jedenfalls bestätigen, dass der auf
https://www.bing.com/webmasters/help/how-to-verify-bingbot-3905dc26
beschriebene Test für alle Adressen in 23.100.232.0/24 scheitert.
Gleichzeitig sehe ich meinen Webserver-Logs, dass ebendieser Test von
mehr als 99% der Adressen, von denen Anfragen mit "bingbot" im
"User-Agent"-Header kommen, bestanden wird. Insofern kann man wohl davon
ausgehen, dass die von dir beobachten Anfragen nicht vom echten Bingbot
stammen.
--
<https://schneegans.de/windows/safer/> · SAFER mit Windows
Marcel Mueller
2022-04-03 10:12:37 UTC
Permalink
Post by Eugen Gregor
Manchmal wird unter einer solchen MS-IP auch eine Brute-Force-Attacke
versucht.
whois.com sagt: ja, das ist MS,
Azure Cloud?
Post by Eugen Gregor
Frage: IP bzw. IP-Bereich in .htaccess sperren, ist das sinnvoll?
Wohl kaum.

Echte böse Buben nehmen niemals eigene IPs, sondern immer die von
gehackten Rechnern oder ggf. auch IoT-Devices. Kurzum, die wechseln und
du sperrst willkürlich irgendwelche Provider.

IP-Sperren sind nur bei akuten Angriffen temporär sinnvoll.
Post by Eugen Gregor
Oder ist das eher eine faked IP und eine Sperre somit sinnlos?
Exakt.


Marcel
Marco Moock
2022-04-17 16:16:14 UTC
Permalink
Post by Eugen Gregor
Ich helfe einem Nachbarn bei seiner Wordpress-Site.
Wordpress --> HTTP --> TCP
Das Faken von IP-Adressen bei TCP bewirkt, dass kein 3-Wege-Handschlag
möglich ist. Ergo geht es gar nicht bis zum Webserver, man kann dann
gar keine Dateien per HTTP abrufen.
Daher wird es kein IP-Spoofing sein, aber ggf. ein gehackter Rechner.
Loading...