Hierzu fügt man einfach die Konfiguration der Domain beispielsweise folgende Zeile hinzu:

index-file.names = ("index.php")

Hierdurch wird das DocumentRoot auf “index.php” gesetzt.

Was allerdings nicht geht: Möchte man, so wie Torben auf seiner Seite minecognix.de gerne das Portal des Forums als Startseite haben, so kann man nicht einfach die Seite “index.php?page=Portal” angeben…

Dies wird mit einem 404-Error quittiert. Um dennoch eine saubere Möglichkeit zu fassen, habe ich eine Datei “portal.php” mit folgendem Inhalt angelegt:

Header( "HTTP/1.1 301 Moved Permanently" );
Header( "Location: index.php?page=Portal" );

Hierdurch werden sowohl Besucher als auch Suchmaschinen durch einen 301-Redirect auf die richtige Seite geleitet. Nun noch die o.g. Variable auf die portal.php setzen und schon funktioniert es auch mit der induviduellen Startseite.

Jetzt habe ich mich noch einmal daran gesetzt, nachdem ich einen kurzen Artikel bei Sebastian Constapel gelesen hatte. Hier sind nun die “Früchte” dieser Auseinandersetzung.

Kurz und schmerzlos:

$HTTP["host"] == "www.bananasoft.org" {
	url.redirect-code = 301
	url.redirect = (
		"^/(.*)$" => "http://bananasoft.org",
	)}

$HTTP["host"] =~ "^bananasoft\.de" {
        url.redirect-code = 301
        url.redirect = (
                "^/(.*)$" => "http://bananasoft.org/$1",
        )
}

Wichtig ist selbstverständlich, dass in der Lighttpd.conf folgende Zeilen aktiv sind:

server.modules = (
"mod_access",
(...)
"mod_rewrite",
"mod_redirect",
(...)
)

Dem Redirect-Glück steht nun nichts mehr im Wege

Update: Wenn man seine eigene Seite in einem Unterverzeichnis hatte, sie nun online schalten möchte und dabei möglichst die Wurzel der Domäne auf das neue Verzeichnis legen möchte, sollte man – nur für den Fall dass eine Suchmaschine bereits Seiten indexiert hat – auch für diese Seiten einen Redirect einbauen:

$HTTP["host"] == "domain.org"{
	[...]
	url.redirect-code = 301
	url.redirect = (
              "^/tempdomain/(.*)" => "http://domain.org/$1"
	)
}

Somit werden alle Aufrufe, die vorher auf /tempdomain/ gelandet sind, auf das root-Verzeichnis umgebogen.

Click here to view the video on YouTube.

Abgesehen davon gibt es evtl. noch ein paar ganz interessante News:

In naher Zukunft wird der Server, auf dem die Domain hier läuft, wieder einmal durch einen neuen ersetzt, der neben mehr Leistung auch über ein neueres Betriebssystem verfügt.  Ein Upgrade sollte ja von Zeit zu Zeit möglich und nötig sein. Habe ich zumindest gehört…

Ob wir dabei dann weiterhin auf Lighttpd setzen werden, uns vielleicht mal nginx anschauen, oder aber reumütig zum Indianer zurückkehren werden, wird sich dann zeigen. Kennt vielleicht jemand ein tolles Webspace-Administrations-Tool, mit dem sich, ähnlich wie bei Plesk, Domains verwalten lassen? Interessant hierbei wäre besonders die Verwaltung von DNS-Records, oder die Anbindung von “externen Domains”, die wir bei TECSpace gemietet haben…

Plesk an sich ist für uns uninteressant, da wir zur Zeit mehr als die in unserer möglichen Lizenz verfügbaren 10 Domains halten. Hat jemand Erfahrung mit SysCP gemacht? Laut Featurelist soll da ja der Lighty unterstützt werden. Hm. Mal schauen. Ich werde berichten…

Click here to view the video on YouTube.

Gruselig

Man setzt sich also dran und geht Version zu Version (ab IE 6.0 – kaum zu glauben, dass diese alte, missratene Krücke nach wie vor genutzt wird!) durch und versucht nachzuvollziehen, warum die Seite so beschissen aussieht. Zwar kann man mit Hilfe von Javascript-Dateien wie IE7-JS dem Internet-Explorer 6 und aufwärts einige Bugfixes, wie beispielsweise (halb-) transparente PNGs, sowie das Verhalten bei DIVs und diversen CSS-Einstellungen “fixen”. Mit diesen Dateien kann – laut Hersteller – dem IE6 “Features” vom IE9 beibringen. Man kommt aber leider nicht darum herum die Seite zumindest unter den verschiedenen Version anzuschauen.

Da man ja schlecht immer alle IE Versionen (de-) installieren kann (oder will), habe ich mich auf die Suche nach einer Lösung dieses Problems begeben. Und ich bin tatsächlich fündig geworden: Mit dem IETester kann man sich seine Seite in unterschiedlichen IE-Versionen betrachten und bugfixen:

IETester is a free (both for personal and professional usage) WebBrowser that allows you to have the rendering and javascript engines of IE10 preview, IE9, IE8, IE7 IE 6 and IE5.5 on Windows 7, Vista and XP, as well as the installed IE in the same process.

Klingt auf jeden Fall interessant und sollte von jedem, der sich mit diesem Problem herumärgert einmal getestet werden.

Ich hätte es nicht für möglich gehalten, aber am gestrigen Abend um 22:52 war es soweit:  Torben machte mich darauf aufmerksam, dass die Domain bananasoft.org nicht mehr erreichbar sei. Nach einigen Recherchen in den Log-Files stellte sich heraus, dass wir Besuch aus China bekamen. Ein gewisser User / Server mit der IP-Adresse “218.57.146.156″ stattete uns einen weniger erfreulichen Besuch ab. Durch eine Kombination aus DDos und versuchtem Knacken von Passwörtern und / oder von “unbesetzten” Passwörtern von Standard-Daemons wurde unser Server lahmgelegt…

Woher der Besuch stammte, konnte durch eine einfache “whois”-Abfrage geklärt werden:

person:       ChinaUnicom Hostmaster
nic-hdl:      CH1302-AP
e-mail:       abuse@chinaunicom.cn
address:      No.21,Jin-Rong Street
address:      Beijing,100140
address:      P.R.China
phone:        +86-10-66259940
fax-no:       +86-10-66259764
country:      CN
changed:      abuse@chinaunicom.cn 20090408
mnt-by:       MAINT-CNCGROUP
source:       APNIC

Interessant! Besuch auch China! Die wollten bestimmt nur das Beste von uns… Unseren Server! Da ich gerade keine Lust hatte denen ein Fax zu schicken oder anzurufen und mich zu beschweren (mein Chinesisch ist auch nicht gerade das Beste… quasi nicht-existent), habe ich dem Server einfach kurzerhand gesagt: “Ähm, den wollen wir nicht haben. Hau dem mit einem schönen, massiven Holzbrett mal so richtig eins vor die Glocke, wenn er das nächste mal vorbei kommt.”

Kurzum: Ich habe

iptables

dazu veranlasst einfach die IP-Adresse in Zukunft zu droppen:

iptables -I INPUT -s 218.57.146.156 -j DROP

Damit wäre die erste Gefahr zumindest vorläufig gebannt worden…

Im zweiten Schritt wurde die Überlegung angestellt, ob man überhaupt den Mitmenschen aus China das Deutsch dieser Webseite zutrauen will. Ich entschied mich für ein ganz klares “Deren Deutsch wird im Durchschnitt so gut sein wie mein Chinesisch” und habe mich für eine verschärfte Form der Sippenhaft entschieden. Das ganze Land wird ab sofort geblockt. Auf eine Seite mehr oder weniger kommt es bei den Chinesen ja leider nicht wirklich an (Alternativ könnte man auch einen Dolmetscher damit beauftragen, Regime-kritische Texte hier zu veröffentlichen – dann würde uns die chinesische Regierung vermutlich eine Menge Arbeit abnehmen… Zurück zum Thema!).

Nach Recherchen im Netz bin ich auf folgendes bash-Skript gestoßen, das es ermöglicht, IP-Bereiche aus Ländern zu blocken, die für Spam / Scam und viele andere böse Sachen berühmt berüchtigt sind:

#!/bin/bash
### Block all traffic from AFGHANISTAN (af) and CHINA (CN). Use ISO code ###
ISO="af cn" 

### Set PATH ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep

### No editing below ###
CBLIST="countrydrop"
ZONEROOT="/var/iptables"
IPTCBRESTORE="/etc/sysconfig/iptables.cb"
ALLOWPORTS=80,443
MAXZONEAGE=7
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"

cleanOldRules(){
    $IPT -L $CBLIST > /dev/null 2>&1
    if [ $? = 0 ] ; then
	$IPT -D INPUT -j $CBLIST
	$IPT -D OUTPUT -j $CBLIST
	$IPT -D FORWARD -j $CBLIST
    fi
    TOPIP=`$IPT -L -n | grep Chain | cut -f 2 -d ' ' | grep '\-$CBLIST'`
    for i  in $TOPIP
    do
	$IPT -F ${i}
	$IPT -X ${i}
    done
    $IPT -X $CBLIST
}

updateZoneFiles() {
    ZONEARCH=${ZONEROOT}/arch
    mkdir -p ${ZONEARCH}
    find ${ZONEROOT} -maxdepth 1 -mindepth 1 -ctime +${MAXZONEAGE} -exec mv {} ${ZONEARCH} \;

    for c  in $ISO
    do
	# local zone file
	tDB=$ZONEROOT/$c.zone

	if [ -f $tDB ] ; then
	    printf "Zone file %s is new enough - no update required.\n" $tDB
	else
	    # get fresh zone file if it is newer than MAXZONEAGE days
	    $WGET -O $tDB $DLROOT/$c.zone
	fi
    done
    oldzones=`find ${ZONEROOT} -mindepth 1 -maxdepth 1 -type f -exec basename {} \; | cut -f 1 -d '.'`
    # Archive old zones no longer blocked
    for z in $oldzones ; do
	archme=${c}
	for c  in $ISO ; do
	    if [ $c = $z ] ; then archme="X"; fi
	done
	if [ $archme = $z ] ; then
	    mv ${archme} ${ZONEARCH}
	else
	    printf "Working from previous zone file for %s\n" ${z}
	fi
    done
}

createIPTLoadFile() {
    printf "# Generated by %s on" $0 > ${IPTCBRESTORE}
    printf "%s " `date` >> ${IPTCBRESTORE}
    printf "\n*filter\n" >> ${IPTCBRESTORE}
    # Create CBLIST chain
    printf ":$CBLIST - [0:0]\n" >> ${IPTCBRESTORE}
    printf "%s INPUT -j $CBLIST\n" "-I" > ${IPTCBRESTORE}.tmp
    printf "%s OUTPUT -j $CBLIST\n" "-I" >> ${IPTCBRESTORE}.tmp
    printf "%s FORWARD -j $CBLIST\n" "-I" >> ${IPTCBRESTORE}.tmp

    if [ "Z${ALLOWPORTS}" = "Z" ] ; then
	printf "Blocking all traffic from country - no ports allowed\n"
    else
	printf "%s $CBLIST -p tcp -m multiport ! --dports ${ALLOWPORTS} -j RETURN\n" "-I">> ${IPTCBRESTORE}.tmp
    fi

    for c  in $ISO
    do
	# local zone file
	tDB=$ZONEROOT/$c.zone

	# country specific log message
	SPAMDROPMSG="$c Country Drop"

        # Create drop chain for identified packets
	CBLISTDROP=${c}-${CBLIST}-DROP
	printf ":${CBLISTDROP} - [0:0]\n" >> ${IPTCBRESTORE}
	printf "%s ${CBLISTDROP} -j LOG --log-prefix \"$SPAMDROPMSG\"\n" "-A" >> ${IPTCBRESTORE}.tmp
	printf "%s ${CBLISTDROP} -j DROP\n" "-A" >> ${IPTCBRESTORE}.tmp

	# Load IP ranges into chains correlating to first octet
	BADIPS=$(egrep -v "^#|^$" $tDB)
	for ipblock in $BADIPS
	do
	    topip=`echo $ipblock | cut -f 1 -d '.'`
	    chainExists=`grep -c :${topip}-${CBLIST} ${IPTCBRESTORE}`
	    if [ $chainExists = 0 ] ; then
		printf "Creating chain for octet %s\n" ${topip}
		printf ":$topip-$CBLIST - [0:0]\n" >> ${IPTCBRESTORE}
		sip=${topip}.0.0.0/8
		printf "%s $CBLIST -s ${sip} -j $topip-$CBLIST\n" "-A" >> ${IPTCBRESTORE}.tmp
	    fi
	    printf "  Adding rule for %s to chain for octet %s\n" ${ipblock} ${topip}
	    printf "%s $topip-$CBLIST -s $ipblock -j ${CBLISTDROP}\n" "-A" >> ${IPTCBRESTORE}.tmp
	done
    done
    cat ${IPTCBRESTORE}.tmp >> ${IPTCBRESTORE} && rm -f ${IPTCBRESTORE}.tmp
    printf "COMMIT\n# Completed on " >> ${IPTCBRESTORE}
    printf "%s " `date` >> ${IPTCBRESTORE}
    printf "\n" >> ${IPTCBRESTORE}
}

directLoadTables() {
    # Create CBLIST chain
    $IPT -N $CBLIST
    $IPT -I INPUT -j $CBLIST
    $IPT -I OUTPUT -j $CBLIST
    $IPT -I FORWARD -j $CBLIST

    if [ "Z${ALLOWPORTS}" = "Z" ] ; then
	printf "Blocking all traffic from country - no ports allowed\n"
    else
	$IPT -I $CBLIST -p tcp -m multiport ! --dports ${ALLOWPORTS} -j RETURN
    fi

    for c  in $ISO
    do
	# local zone file
	tDB=$ZONEROOT/$c.zone

	# country specific log message
	SPAMDROPMSG="$c Country Drop"

        # Create drop chain for identified packets
	CBLISTDROP=${c}-${CBLIST}-DROP
	$IPT -N ${CBLISTDROP}
	$IPT -A ${CBLISTDROP} -j LOG --log-prefix "$SPAMDROPMSG"
	$IPT -A ${CBLISTDROP} -j DROP

	# Load IP ranges into chains correlating to first octet
	BADIPS=$(egrep -v "^#|^$" $tDB)
	for ipblock in $BADIPS
	do
	    topip=`echo $ipblock | cut -f 1 -d '.'`
	    $IPT -L $topip-$CBLIST > /dev/null 2>&1
	    if [ $? = 1 ] ; then
		printf "Creating chain for octet %s\n" ${topip}
		$IPT -N $topip-$CBLIST
		sip=${topip}.0.0.0/8
		$IPT -A $CBLIST -s ${sip} -j $topip-$CBLIST
	    fi
	    printf "  Adding rule for %s to chain for octet %s\n" ${ipblock} ${topip}
	    $IPT -A $topip-$CBLIST -s $ipblock -j ${CBLISTDROP}
	done
    done
}

loadTables() {
    createIPTLoadFile
    ${IPT}-restore -n ${IPTCBRESTORE}
    #directLoadTables
}

# create a dir
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

# clean old rules
cleanOldRules

# update zone files as needed
updateZoneFiles

# create a new iptables list
loadTables

exit 0

Quelle: Kommentar von David Picard weiter unten

In diesem Codeschnipsel würden die Afghanen gleich mit ausgesperrt. Wir lassen natürlich die Afghanen weiter unseren hochinteressanten Blogeinträge lesen. Sie haben uns ja nichts getan.

Das Skript wird nun übrigens wöchentlich bei uns ausgeführt und aktualisiert dann die zu blockenden IP-Adressen. Ein entsprechnder Cronjob wurde auch angelegt:

@weekly bash /path/to/bad_ip_iptables.sh

Ich hoffe einfach mal, dass wir nun – erstmal – vor Hackern und Möchtegernhackern verschont bleiben.

Bis demnächst!

Friedemann

Oder hat vielleicht der für die Zerstörung verantwortliche Vogon ein paar zu viele Pangalaktische Donnergurgler in sich hinein geschüttet und dabei vergessen den Knopf zu drücken? Hm. Wohl eher unwahrscheinlich. Das wäre nämlich Trinken im Dienst gewesen und hätte einen riesig großen Haufen Papierkram verursacht. Obwohl – Vogonen dürfte sowas ja nicht unbedingt stören.

Marvin hier zu meiner rechten Seite ist natürlich auch reichlich deprimiert (was sonst!), ist er doch bitter enttäuscht worden dass die Erde sich nach wie vor um die Sonne dreht.

Aber wer bin ich, dass ich das Universum begreifen will? Es ist mir einfach zu gefährlich.

Ich merke schon, ich schreibe zu viel. Ich werde daher um dieses Thema ein PAL-Feld aktivieren oder aber ein paar Gefahr-O-Sensitiv der Firma Joo-Janta verteilen…

Was ich Euch allen allerdings ans Herz legen möchte: Kauft euch umbedingt die “Per Anhalter durch die Galaxis”-Bände – es lohnt sich.

In diesem Sinne rufe ich “Hallo Grund” und wir werden uns wohl mit dem Weltuntergang bis zum 21. Dezember 2012 gedulden müssen.

Gruß

Friedemann