U bent hier

Net niet off-line

Door admin op 15 januari 2015 - 02:08

Op 27/12 kreeg ik van het admin panel van het hostingbedrijf een (geautomatiseerd) mailtje dat ik met de site 84% van de bandbreedte toegestaan in mijn abonnement had bereikt. Door de drukte van de feestdagen lag ik er niet echt wakker van. En dan kreeg ik op 1/1 iets na middernacht een mailtje "User has been suspended for bandwidth overusage".
Toen ik de site bezocht bleek ik er echter gewoon op te kunnen. Nog niets aan de hand dus, dacht ik.

En toen, vorige week vrijdag kreeg ik wéér een mailtje. We zaten al aan 26% bandbreedte en we waren amper de 9e. Nu werd ingrijpen toch echt dringend want het laatste wat je wil als site-eigenaar is dat je site op zwart gaat om één of andere reden.
De statistieken van de hosting werden nagekeken maar leek zijnde op dit vlak kon ik er niet veel uit halen. En tja, de logs van de site daar zag ik al maanden veel zaken die niet klopten. Maar ook daar had ik me nog geen zorgen over gemaakt.

Drupal, het CMS (Content Managment System) waar deze site is mee gebouwd heeft wat ingebouwde "filters" om ongewenst bezoek tegen te houden (dacht ik). En zelf had ik een extra module toegevoegd om spammers te vermijden. Ik voelde me dus enerzijds redelijk gerust maar anderzijds moest dat overmatige dataverkeer toch ergens te verklaren zijn. Dus stuurde ik een mailtje naar het hostingbedrijf.

Nu heb ik daar altijd een redelijk goeie ervaring mee gehad en al spoedig kreeg ik wat verduidelijking van hun wat ik waar in de statistieken kon vinden (in feite was het een tip: kijk eens verder dan je neus lang is). Zo is er een tabelletje met de top30 van de IP-adressen die de site bezoeken. Nazicht van die 30 IP's leerde me dat deze alle kwamen van 3 Amerikaanse bedrijven waarvan er nog 2 aan mekaar gelinkt zijn.
En dan ga je kijken naar oplossingen.

Bij het zoeken naar extra modules vond ik niet direct wat. En dan ga je verder zoeken.
Ik heb wel een overzichtspagina van de meest actieve gebruikers maar daar kijk ik in feite nooit naar (die ken ik zo ook wel Wink ). Nu ging ik ze toch eens van naderbij bekijken en ik stelde vast dat de eerste geregistreerde gebruiker pas ergens rond plaats 300 kwam. Er voor allemaal IP-nummers ipv gekende gebruikers.
Gelukkig heb ik standaard de mogelijkheid IP-nummers te blokkeren.

Nu maak ik daar liefst géén of zo weinig mogelijk gebruik van maar nu moest toch echt ingegrepen worden. 14 500 hits op 3 maand en 3 weken van op één en hetzelfde Amerikaans IP-adres is toch een beetje van het goede teveel (de eerste "reguliere" gebruiker heeft er op die periode 517). Dus heb ik 3 (drie) dagen klikken en copy-pasten achter de rug om IP-adressen te blokkeren.
Allemaal werden ze gecontroleerd op een site waar je kan nagaan waar een IP-adres vandaan komt. Toch het land, meestal ook de stad waar de provider gevestigd is en ook de naam van de provider. Nooit persoonlijke gegevens, laat dat duidelijk zijn.

Ze één voor één controleren vond ik wel nodig, ik wil Google bot en/of de Bing zoekmachine niet blokkeren. En ook natuurlijk geen enkele geregistreerde gebruiker. Ik hoop dat er de laatste 3 dagen niemand van de "leden" vanop vakantie in de VS de site heeft proberen te bezoeken want dan is de kans groot dat dat IP-adres geblokkeerd is. En verder zijn alle IP's uit Rusland, Oekraine, Wit-Rusland, China,... en ander "twijfelachtige" landen geblokkeerd. Tenminste, ik ben tot ongeveer het 300e IP-adres van de 7500 van de laatste 3 3/4 maand gekomen. Het was me namelijk gisteren in de site-statistieken al opgevallen dat het dataverkeer serieus was teruggelopen en vandaag nog wat meer.

Vanaf morgen ga ik me dus beperken enkel de nieuw bijkomende twijfelachtige IP-adressen te blokkeren. Ik denk dat het geen zin heeft een IP-adres te blokkeren dat 3 maand terug één poging deed op de site te komen.

Let wel, iedereen mag komen kijken. Het forum is afgeschermd, ook de gebruikersprofielen en beide ook voor zoekmachines. Wie krijgt dan wel een blok aan z'n been? Wel, diegene die probeert in te loggen met een accountnaam als Leonardtup of GumseshMars zonder geregistreerd te zijn. En als die dan ook nog een IP heeft uit één of ander land met een reputatie op dat gebied is het helemaal prijs.
Doe je nu een poging om in te loggen als Korin met een IP uit België dan kan ik me voorstellen dat Karin een typfoutje maakte (zeker als ik zie dat de echte Karin net nadien wél inlogde)(Sorry Karin, 'k moest toch iemand als voorbeeld nemen).

In het begin van dit stukje had ik het over die extra module om spammers te vermijden. Daarvan ontdekte ik dat die ook maar ten dele doet wat ik er van verwachtte. Die module controleert op deze site het aanmelden van nieuwe gebruikers. Omwille van spam gekende gebruikersnamen, email-adressen en/of IP-adressen krijgen niet eens de kans een account aan te maken. Ik krijg dan in de logs daar bijvoorbeeld de melding van "Blocked registration: email=zubasta2501@mail.ru,ip=185.17.135.42". Ik ging er dan (verkeerdelijk) van uit dat dat IP-nummer dan ook effectief geblokkeerd was. Niet dus, enkel de aanmelding is verhinderd.
Dus vanaf morgen loop ik die meldingen ook dagelijks na (ik kan ook de IP-adressen zien zelfs al wordt er geblokt op een voor spam gekende username) en dan komt er direct een ban.

Ik hoop met een paar weken dit vol te houden het ongewenste dataverkeer grotendeels terug te dringen.