In den letzten Tagen, musste ich hier im Blog leider beobachten, wie sich ein Spammer an den wachsamen Augen der Antispam Bee vorbeigeschlichen hat und einzelne SPAM-Kommentare unter einem älteren Artikel aus dem Jahr 2015 hinterlassen hat.
Was mit einzelnen Kommentaren begann, erweiterte sich dann zu einer kleinen SPAM-Attacke, die in der Nacht vom 10.04.2025 weitere 129 SPAM-Kommentare unter den Artikel spülte. Dabei wurden 30 unterschiedliche IP-Adressen verwendet, die alle in der Russischen Föderation registriert sind.
Nach einer Sichtung weiterer blockierter SPAM-Kommentare stelle ich fest, dass der überwiegende Teil des SPAMs aus der Russischen Föderation und China kommt. IP-Adressen aus diesen Regionen werden auch regelmäßig durch fail2ban blockiert.
Da der letzte Spammer durch den Wechsel der IP-Adressen, bestehende Mechanismen jedoch unterlaufen konnte, baue ich nun eine weitere Verteidigungslinie auf. Zukünftig werden Zugriffe von IP-Adressen aus der Russischen Föderation und China von Iptables blockiert.
Update 2025-04-10T18:40+02: Ich habe die Maßnahme vorerst wieder ausgesetzt und prüfe, ob angepasste Kommentar-Einstellungen ausreichen, um dem Kommentar-SPAM zu begegnen. Ich lasse die folgende Lösung als Dokumentation online. Evtl. muss ich doch wieder darauf zurückfallen.
Hier ist eine iptables-Lösung zum Blockieren von IP-Adressen aus Russland und China:
Vorbereitung: GeoIP-Modul installieren
~# apt install xtables-addons-common geoip-bin libtext-csv-xs-perl
~# /usr/libexec/xtables-addons/xt_geoip_dl
~# /usr/libexec/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip RU CNIptables-Regel erstellen und für persistenz speichern
~# iptables -A INPUT -m geoip --src-cc RU,CN -j DROP
~# iptables-save > /etc/iptables/rules.v4Automatische Updates der Geo-IP-Daten einrichten
~# cat /usr/local/bin/geoip_update.sh
# /usr/local/bin/geoip_update.sh
#!/bin/bash
wget -O /tmp/GeoIPCountryCSV.zip https://dl.miyuru.lk/geoip/maxmind/country/maxmind4.dat.zip
unzip -o /tmp/GeoIPCountryCSV.zip -d /usr/share/xt_geoip/
/usr/libexec/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip RU CN
rm /tmp/GeoIPCountryCSV.zip
~# crontab -l
# Cronjob täglich um 3 Uhr
4 3 * * * /usr/local/bin/geoip_update.shTest und Logging aktivieren
# Zuerst in der Firewall-Chain testen
~# iptables -L -n -v | grep 'DROP.*geoip'
# Logging aktivieren (optional für Debugging)
~# iptables -I INPUT -m geoip --src-cc RU,CN -j LOG --log-prefix "[GEOIP BLOCK]"Hinweis: Den Vorschlag für obige Lösung habe ich mir von perplexity.ai generieren lassen. Dabei musste ich lediglich den Pfad zu /usr/libexec/xtables-addons korrigieren, welcher fälschlicherweise auf /usr/lib/ zeigte.
Fazit
Das Internet ist kaputt. Die Zeiten in denen die Nutzer respektvoll und umsichtig miteinander umgingen, sind lange vorbei.
Mir ist bewusst, dass auch eine Sperrung von IP-Adressen basierend auf Geolokation keine absolute Sicherheit bietet und man mit dieser groben Maßnahme auch mögliche legitime Zugriffe blockiert. Allerdings prasseln aus diesen Teilen der Welt so viele unerwünschte Zugriffsversuche auf meinen kleinen Virtual Private Server ein, dass ich hier nun einen weiteren Riegel vorschiebe.
Welche Maßnahmen ergreift ihr, um unerwünschte Besucher von euren Servern fernzuhalten? Teilt eure Maßnahmen und Erfahrungen gern in den Kommentaren oder verlinkt dort eure Blog-Artikeln, in denen ihr darüber geschrieben habt.
Ich verstehe, daß Du Verteidigungsmaßnahmen unternimmst. Ein Geoblocking ist aber wirklich nicht gerechtfertig und steht im Widerspruch zum freien Internet. Es ist übliche Praxis die Angriffe von Host aus durchzuführen, die keinerlei Verdacht auf die wirklichen Akteuere lenken und auch ich würde in diesem Falle Botnetze nutzen, die aus anderen Ländern heaus das Ziel angreifen. Du unterliegst dem gängigen Irrtum aller Hackback Fanatiker. Sorry, aber Deine Maßnahme ist klassisches Overblocking und daher zu verurteilen.
Ich habe die Sperrliste vorerst wieder deaktiviert und prüfe, ob angepasste Einstellungen für die Kommentare ausreichend sind.
Ich wollte immer den Paketfilter so konfigurieren, dass SSH nur aus DACH möglich ist. Danke für die Erinnerung.
Gern geschehen. :-)
Bei mir läuft zusätzlich ein lokaler Bayesfilter. Bündelt b8, das Plugin macht nur die Integration, https://nasauber.de/opensource/b8/. Sowas hätte die Spamkommentare wahrscheinlich erkannt, oder zumindest nach der ersten Welle.
Ein Serendipityplugin natürlich, aber WordPress kleine Pluginlandschaft könnte so was ja auch bieten ;)
Das Plugin-Ökosystem für WordPress ist Fluch und Segen zugleich. Ich versuche die Anzahl der Plugins auf ein Minimum zu begrenzen, da Plugins meist zu neuen Problemen führen.
Mal gucken, ob die angepassten Einstellungen für Kommentare die gewünschte Wirkung zeigen. Kommentare werden jetzt nur noch automatisch veröffentlicht, wenn der Autor bereits einen genehmigten Kommentar im Blog hat. Alle anderen Kommentare müssen moderiert werden. Ich schreibe morgen nochmal ein kurzes Update hierzu.
Pingback: Von SPAM-Kommentaren und Gegenmaßnahmen | My-IT-Brain