An erster Stelle steht Sicherheit
Weltweit publiziert
Klingt komisch, ist aber nun mal so. Wenn Sie Seiten im Internet publizieren, muss Ihnen mal klar sein, dass Sie prinzipiell weltweit publizieren.
Klar, ein Webseitenbetreiber kann ja nach technischem "know how" verhindern das Benutzer seine Seiten abrufen, dies geschieht in aller Regel über:
- die IP-Adresse (jeder Benutzer hat eine)
- den Hostnamen (nicht unbedingt jeder Nutzer hat einen)
- Datenbankdienste (man übermittelt eine IP und bekommt weitere Informationen zurück)
Ich selbst nutze in meinem weiteren Web argeforum.de solche Techniken um Benutzer auf Basis der Lokalisation zum Beispiel aus "Nicht EU-Staaten" auszusperren. Wenn ich mir die Logfiles hier ansehe, erkenne ich häufig dass Nutzer aller Herrenländer nach Schwachstellen suchen oder einfach nur Spam senden möchten. Da meine Seite innerhalb der EU betrieben wird, ist diese auch durch EU Gesetze geschützt.
Technik
Wie voran beschrieben gibt es mehrere Möglichkeiten um das eigene Web gegen unerwünschte Zugriffe zu sichern.
Eine davon ist das abfangen verschiedener Statuscodes. Jeder Besucher, der eine Seite im Internet aufruft erhält vom Server einen HTTP-Statuscode.
Bei erfolgreichem Abruf kommt beispielsweise der Code 200 für "oK".
Mich interessiert gerade aber der Code 404 für "not found". Dies nutze ich als Indiz für einen Abruf, der in meiner Navigationsstruktur nicht publiziert wird. In meinem Fall ist das einfach, ich weise meinem Server an alle Code 404 Seiten mit einer vordefinierten Seite in meinem Web zu beantworten.
Dies geschieht über Einträge in der sog. ".htaccess" Datei, welche sich auf dem Server befindet. In diese Datei kommt einfach der Eintrag:
ErrorDocument 404 /xxxxxxx
wobei "xxxxxxx" für die Zielseite im eigenen Web steht. Der Server wird also angewiesen den Code 404 mit Seite "xxxxxxx" zu beantworten. Dies geht eigentlich für alle möglichen Arten von HTTP-Statuscode.
Auf dieser vordefinierten Seite frage ich einfach ab, welche Seite ein Nutzer tatsächlich abzurufen versucht hat. Bei PHP wird dies über die Variable:
$_SERVER[]
realisiert. Ist dies eine Seite die bereits für Sicherheitslücken bekannt war, dann haben wir ganz offensichtlich jemanden, der nach dieser bestimmten Lücke gesucht hat.
Beliebt ist beispielsweise das Script:
wp-login.php
ein vulnerables PHP-Script aus Wordpress, ich selbst benutze kein Wordpress, kann jedoch auch von Lücken betroffen sein, die heute noch nicht bekannt sind (sog. Zero-Day-Lücken).
Reaktion
Da Sicherheit an erster Stelle steht, reagiere ich natürlich auf derartige Versuche Schwachstellen auszunutzen.
In meinem Fall wird die betroffene IP über Zugangskontrolle von der weiteren Nutzung ausgeschlossen.
Außerdem übermittle ich die IP-Adresse mit Zeitstempel und Grund der Meldung automatisch an dritte Dienstleister. Diese machen die Meldung öffentlich und errechnen daraus einen Missbrauch-Score.
Da ich nicht der einzigste bin, der diese Methode anwendet werden so viele IP-Adressen öffentlich gemacht, die irgendwo schon auffällig geworden sind.
Nutzen
Ich selbst nutze die Datenbank von dritten Dienstleistern auch zur Zugangskontrolle.
Ich frage zu Beginn des Besuchs den Missbrauch-Score für die besuchende IP ab, liegt dieser Score über einem von mir definierten Schwellwert dann bekommen Besucher anstatt der Inhalte nur eine Fehlerseite mit Hinweistext ausgeliefert.
Ziel ist es die guten von den schlechten Nutzern zu trennen. Viele Betreiber und Provider nutzen derartige Systeme um schadehafte Besucher zu identifizieren.