Tausende Aufrufe in wenigen Min. - Apache bricht ein

reSh · #1 01.07.2008, 19:50

Gutag Tag,

ich habe seit einigen Tagen das Problem, dass mein Server "angegriffen" wird. Und zwar von Webseiten wie:

h**p://www.iyitoplist.net/reklam.html
h**p://www.resimmania.com/a.php
h**p://www.mp3-dinle.net/reklam.html

Wie Ihr sehen könnt, haben diese Seiten nur einen Sinn - und zwar eine Toplist zu manipulieren, indem der jeweilige Button als Bild in die Seite eingebunden wurde. Und diese Seiten werden anscheinend sehr sehr häufig (wohl automatisch) aufgerufen.

Denn in den access_log finde ich folgende Einträge:

Code:

78.182.143.211 - - [01/Jul/2008:20:27:38 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
78.185.163.96 - - [01/Jul/2008:20:27:38 +0200] "GET /button.php?u=bahane2323 HTTP/1.1" 200 4 "http://www.adultforumm.com/top2.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"
78.175.69.28 - - [01/Jul/2008:20:27:38 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SIMBAR={680A0872-3B98-4EB0-B22C-06C9AB3FFCB6}; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
84.155.87.153 - - [01/Jul/2008:20:27:39 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
78.171.104.24 - - [01/Jul/2008:20:27:39 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
88.230.176.12 - - [01/Jul/2008:20:27:40 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
78.166.144.167 - - [01/Jul/2008:20:27:40 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1; .NET CLR 2.0.50727)"
78.162.118.49 - - [01/Jul/2008:20:27:40 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
88.234.40.56 - - [01/Jul/2008:20:27:40 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
87.162.183.29 - - [01/Jul/2008:20:27:40 +0200] "GET /css/winxp.blue.css HTTP/1.1" 200 10120 "http://areip-clan.de/" "Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
88.241.216.121 - - [01/Jul/2008:20:27:41 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"
78.176.172.252 - - [01/Jul/2008:20:27:41 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; InfoPath.1)"
87.162.183.29 - - [01/Jul/2008:20:27:41 +0200] "GET /img/common/logo.gif HTTP/1.1" 200 1296 "http://areip-clan.de/" "Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
88.241.216.121 - - [01/Jul/2008:20:27:41 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"
78.176.172.252 - - [01/Jul/2008:20:27:41 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; InfoPath.1)"
77.187.190.145 - - [01/Jul/2008:20:27:41 +0200] "GET /img/common/top_body_bg.jpg HTTP/1.1" 200 3857 "http://www.areip-clan.de/" "Opera/9.27 (Windows NT 6.0; U; de)"
212.174.225.85 - - [01/Jul/2008:20:27:41 +0200] "GET /button.php?u=dead HTTP/1.1" 200 4 "http://www.deniz-bayrak.com/top.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
88.229.229.57 - - [01/Jul/2008:20:27:41 +0200] "GET /button.php?u=dead HTTP/1.1" 200 4 "http://www.deniz-bayrak.com/top.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
85.106.254.30 - - [01/Jul/2008:20:27:41 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.106.254.30 - - [01/Jul/2008:20:27:42 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.233.106.204 - - [01/Jul/2008:20:27:42 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
78.166.140.245 - - [01/Jul/2008:20:27:42 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SIMBAR={64BAA1F5-D0D9-4EA4-8635-1821125A72FB}; .NET CLR 1.1.4322; InfoPath.1)"
82.235.51.171 - - [01/Jul/2008:20:27:42 +0200] "GET /button.php?u=lidermmt HTTP/1.1" 200 4 "http://www.mircyukle.biz/mircradyo.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)"
85.105.115.29 - - [01/Jul/2008:20:27:42 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SIMBAR={4F970F26-BB22-4FB3-A4EA-22DA0AB3870C})"
88.236.191.41 - - [01/Jul/2008:20:27:42 +0200] "GET /button.php?u=seks1232 HTTP/1.1" 200 4 "http://www.adultforumm.com/top2.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
78.182.74.254 - - [01/Jul/2008:20:27:42 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
88.243.209.93 - - [01/Jul/2008:20:27:43 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.234.55.235 - - [01/Jul/2008:20:27:43 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"
88.226.158.32 - - [01/Jul/2008:20:27:43 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1; .NET CLR 2.0.50727)"
62.217.213.177 - - [01/Jul/2008:20:27:43 +0200] "GET /button.php?u=dead HTTP/1.1" 200 4 "http://www.deniz-bayrak.com/top.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9) Gecko/2008052906 Firefox/3.0"
78.168.50.14 - - [01/Jul/2008:20:27:43 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)"
78.179.199.240 - - [01/Jul/2008:20:27:43 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
78.168.44.189 - - [01/Jul/2008:20:27:44 +0200] "GET /button.php?u=kyas HTTP/1.1" 200 4 "http://www.resimmania.com/a.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
78.168.44.189 - - [01/Jul/2008:20:27:44 +0200] "GET /button.php?u=gsas HTTP/1.1" 200 4 "http://www.resimmania.com/a.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
87.221.29.60 - - [01/Jul/2008:20:27:44 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
85.101.40.26 - - [01/Jul/2008:20:27:44 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.99.5.37 - - [01/Jul/2008:20:27:44 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)"
78.175.69.28 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SIMBAR={680A0872-3B98-4EB0-B22C-06C9AB3FFCB6}; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
88.233.68.152 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.243.48.173 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.102.77.224 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=seks1232 HTTP/1.1" 200 4 "http://www.ayisigi.net/thanks.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.227.220.204 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.99.5.37 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)"
81.213.179.172 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=pikniktub HTTP/1.1" 200 4 "http://www.diyarchat.net/sielan.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
78.188.14.101 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=seks1232 HTTP/1.1" 200 4 "http://www.ayisigi.net/thanks.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
88.242.83.81 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
85.99.173.65 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=bahane2323 HTTP/1.1" 200 4 "http://www.adultforumm.com/top2.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; InfoPath.2)"
88.224.137.133 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.233.237.111 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Seekmo 10.0.424.0)"
85.107.75.1 - - [01/Jul/2008:20:27:45 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
88.234.246.16 - - [01/Jul/2008:20:27:46 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
88.245.147.209 - - [01/Jul/2008:20:27:46 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MSN Optimized;TR)"
78.163.168.155 - - [01/Jul/2008:20:27:46 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
78.178.148.22 - - [01/Jul/2008:20:27:46 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
88.227.50.111 - - [01/Jul/2008:20:27:46 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"
88.233.124.221 - - [01/Jul/2008:20:27:47 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
88.240.159.71 - - [01/Jul/2008:20:27:47 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.235.70.221 - - [01/Jul/2008:20:27:47 +0200] "GET /button.php?u=dead HTTP/1.1" 200 4 "http://www.deniz-bayrak.com/top.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.14) Gecko/20080404 ImageShackToolbar/4.3.5 Firefox/2.0.0.14"
88.242.83.81 - - [01/Jul/2008:20:27:47 +0200] "GET /button.php?u=afeef HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
88.229.9.44 - - [01/Jul/2008:20:27:47 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
78.174.9.124 - - [01/Jul/2008:20:27:47 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.iyitoplist.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)"
88.228.154.77 - - [01/Jul/2008:20:27:47 +0200] "GET /button.php?u=koyuns HTTP/1.1" 200 4 "http://www.resimmania.com/a.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
88.240.31.93 - - [01/Jul/2008:20:27:47 +0200] "GET /button.php?u=bakama HTTP/1.1" 200 4 "http://www.mp3-dinle.net/reklam.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Wenn Ihr die Access-Zeiten beachtet, werdet Ihr feststellen, dass mein Server damit echt gestresst wird.

Die Folge:
Meine Webseiten sind schlecht bis gar nicht erreichbar. Die Ladezeiten sind unterirdisch schlecht. Allerdings Downloads laufen mit voller Geschwindigkeit ab.

Ich hab den Server letzte Nacht neuinstallieren lassen - ohne Erfolg.

Meine Frage an Euch:
Wie kann ich das unterbinden?

Bin für jeden Hinweis dankbar.

mfg reSh

marneus · #2 01.07.2008, 20:03

Mit iptables blocken, Abuse Meldung raus, evtl. mit Deinem Provider sprechen, die haben da noch andere handhabe.

--marneus

traced · #3 01.07.2008, 20:25

Neuinstallation wird Dir nichts helfen, da es "normale" HTTP Zugriffe sind.
Einfach Marneus´ Tips befolgen, und es sollte Ruhe einkehren. "man iptables"

lg Basti

reSh · #4 01.07.2008, 22:27

Danke für die Antworten.

Aber wird das auch was bringen? Ich denke nicht, Da damit ja nicht die Server auf denen die Seiten liegen geblockt werden können sondern nur die "Leute" die die Seiten aufrufen. Die Server bauen ja keine Verbindung zu meinem auf. Es wird ja nur gesagt das der Browser ein Bild auf meinem Server findet und dies nachladen soll. Ich müsste dann mit den iptables die IPs der Browser blocken. Und das wäre ein Kampf gegen Windmühlen. Oder habe ich da einen Denkfehler drin? Wenn ja, seid so nett und sagt es mir :-).

Ein Bekannter hat mir noch einen anderen Hinweis gegeben.
Unter :: handcode :: Referrer-Spam blocken mit Apache und mod_rewrite gibt es eine Anleitung wie man das mit mod_rewrite blocken könnte. Aber auch das funzt bei mir nicht. Ich habe es direkt in der httpd.conf und auch per .htaccess versucht. Mein Indianer hat das Modul geladen.

Ich habe noch was herraus gefunden, und zwar wird versucht auf ein Verzeichnis auf meinem Server versucht zu zugreifen.

/srv/www/vhosts/default/htdocs ist das Verzeichnis.

Das ist das DOCROOT wenn man nur den Hostname aufruft oder direkt die IP aufruft. Dort habe ich eine .htaccess mit Authentifizierung abgelegt. Aber auch das brachte nicht den gewünschten Erfolg.

Wenn Jemand noch eine Idee hat immer her damit :-)

Ich bin langsam echt am verzweifeln und meine Kunden steigen mir langsam aufs Dach.

mfg reSh

Spin-Doc · #5 01.07.2008, 22:51

Da ist ein Denkfehler drin, wenn die IP geblockt wurde, geht nichts mehr. Außerdem interpretierst du dein Log eh falsch. Das was du mit Angriffsserver klassifizierst ist nur der Referer, der Angreifer wird per IP Adresse dargestellt.

Außerdem hat dein Apache nur ca. 5 Anfragen pro Sekunde zu bearbeiten, dass ist gar nichts. Wenn er bei so geringer Last in die Knie geht, ist da arg der Wurm drin, oder die Hardware extrem schwach, z.B. ein 486er DX2 mit 33Mhz.

reSh · #6 01.07.2008, 23:02

Danke für deine Antwort.

zum Verständnis, ich nehem mal die erste Zeile aus meinem geposteten log:

78.182.143.211 - Angreifer mit Mozilla basiertem Browser
h**p://www.mp3-dinle.net/reklam.html - das ist der böse Ref

und ich muss jetzt die IP des Ref's blocken? In diesem Fall wäre das die IP 91.191.161.76 ?

Wenn das korrekt ist, ist es definitiv ein Kampf gegen Windmühlen. ich habe innerhalb von 20Minuten ein Logfile das um 5MB gewachsen ist. Und es wiederholt sich keine IP. Wie soll ich die alle blocken?

Ich müsste den Ref blocken können.

ps: ich habe Kontakt mit Strato aufgenommen. Mal sehen was die mir anbieten können. Ich habe auch einen Link zu diesem Post angegeben dass sich der oder die MitarbeiterIn ein bessers Bild machen können. Ich lasse auch mal einen lieben Gruß an den Strato Menschen hier ^^.

mfg reSh

Nachtrag: Die Maschine ist nicht so schwach wie du vermutest. Es ist ein AMD Athlon64 3200+ mit 512MB Ram.
Und der "Wurm" kann theoretisch nicht drin sein da es eine sehr frische Installation ist. Sie ist noch nicht einmal 24h alt. ich habe weder Software installiert noch sonst irgendwas an der Konfiguration geändert. Ich habe nur mein vorher erstelltes Plesk Backup zurückgespielt. Nicht mehr und nicht weniger. Wenn da der Wurm drin sein sollte ist das Strato-Image defekt. Die CPU Last liegt auch bei nahezu 1-3%. Der Ram ist fast voll aber das ist bei Linux ja "normal". Und das es "nur" 5 Anfragen sind ist Richtig. Aber es werden immermehr. Zur Zeit kommen auch immer neue Ref's dazu.

Ich schalte jetzt erstmal alle Webseiten auf dem Server ab. Vielleicht ist ja auch ein Coding Fehler in einer der Projekte.

charli · #7 02.07.2008, 00:25

Hallo,

Zitat:

Zitat von reSh

Angreifer mit Mozilla basiertem Browser

warum Angreifer? Surfer der auf die Linkfarm stolpert, möglicherweise über eine Suchmaschine. Oder doch ein verseuchter PC.

Zitat:

die IP des Ref's blocken?

Sinnlos, der ruft die Seite auf deinem Server nicht auf.

Die Linkfarmen rufen alle button.php mit Parameter auf, diese Datei liegt auf deinem Server. Was macht die?

Zitat:

Sie ist noch nicht einmal 24h alt. ich habe weder Software installiert noch sonst irgendwas an der Konfiguration geändert.

Aber hoffentlich das automatische Update Deiner Distribution (welche, welche Version) durchlaufen lassen.

Im Prinzip gibt's nur zwei Möglichkeiten: button.php ist von Dir (bzw einem deiner Kunden) absichtlich installiert und hat eine gewünschte Funktion - dann wird diese übertrieben genutzt, wobei man sich fragen sollte wem das welchen Nutzen bringt. Oder die Datei ist nicht von Dir (bze einem Kunden) installiert, dann ist die Frage wie sie auf den Server kommt.

Spin-Doc · #8 02.07.2008, 07:23

Was willst du im mit dem Referer, der ist absolut nutzlos, gib mir die Adresse von deinem Serer, und ich jag 5.000 Zugriffe drauf, bei welchem im Referer die Adresse deines Servers steht. Dann musst du dich logischerweise selbst blocken.

Ich empfehle dir dringend dich eingehend mit einschlägiger Literatur zum Thema zu befassen, du schreibst selbst dass du Kunden auf der Kiste hast. Da solltest du auch was bieten können, angefangen mit wie ist ein apache logfile aufgebaut - Google-Suche

Außerdem: oben schhreibst du "Tausende Aufrufe in wenigen Min. - Apache bricht ein" und drunter "Die CPU Last liegt auch bei nahezu 1-3%". Ist die Kiste jetzt ausgelastet oder nicht?

Wie gesagt, blocke einfach die IPs der Angreifer, dem kurzen Überblick nach kommt das alles von TurkTelekom Anschlüssen, wahrscheinlich ein Botnetz. Am besten immer jeweile das gesamte Subnet sperren. Und falls es trotzdem mehr werden sollte: mod_evasive hilft gegen DoS Angriffe.

reSh · #9 02.07.2008, 07:45

Guten Morgen,

Zitat:

Zitat von charli

Im Prinzip gibt's nur zwei Möglichkeiten: button.php ist von Dir (bzw einem deiner Kunden) absichtlich installiert und hat eine gewünschte Funktion - dann wird diese übertrieben genutzt, wobei man sich fragen sollte wem das welchen Nutzen bringt. Oder die Datei ist nicht von Dir (bze einem Kunden) installiert, dann ist die Frage wie sie auf den Server kommt.

Diese Datei gibt es gar nicht. Diese Datei gab es auch niemals.

Auszug aus dem error_log:

Code:

Wed Jul 02 08:31:58 2008] [error] [client 85.107.149.83] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.adultforumm.com/top2.html
[Wed Jul 02 08:31:58 2008] [error] [client 60.54.52.243] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:58 2008] [error] [client 60.54.52.243] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:58 2008] [error] [client 78.190.69.130] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.adultforumm.com/top2.html
[Wed Jul 02 08:31:58 2008] [error] [client 88.253.1.178] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:58 2008] [error] [client 78.171.8.101] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:58 2008] [error] [client 78.182.135.146] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:58 2008] [error] [client 78.182.135.146] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:58 2008] [error] [client 88.237.19.163] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:59 2008] [error] [client 88.238.149.235] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:59 2008] [error] [client 88.237.19.163] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:31:59 2008] [error] [client 88.226.253.129] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.ayisigi.net/thanks.html
[Wed Jul 02 08:32:00 2008] [error] [client 88.242.75.106] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:32:00 2008] [error] [client 88.242.75.106] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:32:00 2008] [error] [client 88.233.225.117] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:32:00 2008] [error] [client 88.233.225.117] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:32:00 2008] [error] [client 85.106.179.79] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:32:00 2008] [error] [client 85.106.179.79] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:32:00 2008] [error] [client 78.160.97.9] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:32:00 2008] [error] [client 78.160.97.9] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html
[Wed Jul 02 08:32:03 2008] [error] [client 81.215.49.113] script '/srv/www/vhosts/default/htdocs/button.php' not found or unable to stat, referer: http://www.mp3-dinle.net/reklam.html

Und die Logs kann ich lesen. Steht ja alles drin was man wissen muss.

Zitat:

Aber hoffentlich das automatische Update Deiner Distribution (welche, welche Version) durchlaufen lassen.

Logisch hab ich das gemacht.

Dieses Problem hatte ich schonmal. Damals wurde eine Toplist unter wow.gfx-projekt.de bombadiert. Die hatte ein Kunde mal mal angelegt. Ich konnte das Problem mit einem einfachen .htaccess Zugangsschutz stoppen. Aber jetzt reicht das nicht mehr.

Gibt es eine Möglichkeit herrauszufinden wie die Linkfarmen auf meinen server linken? Also über welche Adress/IP? Ich habe zwar schon im Quelltext der Farmen nachgesehen, aber dort keine meiner Domains gefunden. Auch meine IP's sind nicht zufinden. Vielleicht haben die ja eine Domain auf meinen Server per DNS-Setting auf meinen Server gerichtet. Das würde auch erklären warum die im default landen. Als Workaround könnte ich diese Domain dann im Plesk einrichten und sie dann z.b. auch wieder per DNS umleiten bzw. mit dem .htaccess Zugangsschutz ausperren. Die Domain gfx-projekt.de gibt es nicht merh auf dem Server. Die habe ich zu dd24.de umgeleitet. Über diese Adresse dürften keine Aufrufe mehr kommen.

Zitat:

warum Angreifer?

Ich nenne das einfach so da sie meinem Server nicht unbedingt gut tun. ^^

mfg reSh

Edit:

Zitat:

Außerdem: oben schhreibst du "Tausende Aufrufe in wenigen Min. - Apache bricht ein" und drunter "Die CPU Last liegt auch bei nahezu 1-3%". Ist die Kiste jetzt ausgelastet oder nicht?

Der Apache bricht nur ein. Er muss ja nicht sonderlich viel berechnen, da das php-File nicht durch den PHP-Interpreter muss weil es das File gar nicht gibt. Also is die CPU Last gering. Allerdings steht im log auch noch was von:

Code:

[Tue Jul 01 12:33:09 2008] [error] server reached MaxClients setting, consider raising the MaxClients setting

Ich vermute das wird der Knackpunkt sein. Mit den entsprechenden Settings habe ich mich auch schon beschäftigt. Bringt auch nichts.

LinuxAdmin · #10 02.07.2008, 07:55

Zitat:

Zitat von reSh

Diese Datei gibt es gar nicht. Diese Datei gab es auch niemals.

Merkwürdig: Im logfile-Auszug im ersten Posting wird sie noch munter mit einem Statuscode "200" ausgeliefert.

reSh · #11 02.07.2008, 07:58

Ja, dort habe ich sie einfach mal angelegt, um zusehen was dann passiert. In dem File war nichts drin. Einfach ne leere PHP-Datei.

mfg reSh

reSh · #12 02.07.2008, 08:42

Momentan rennt der server wieder trotz der Aufrufe. Daran Hat sich nichts geändert.

naja mal sehen obs so bleibt.

mfg und schönen Tag
reSh

marneus · #13 02.07.2008, 09:12

Also ist "nichts tun" jetzt die Lösung? Frag ich mich, wieso wir Dein Problem analysieren

--marneus

reSh · #14 02.07.2008, 11:00

Warum Ihr mein Problem analysiert? Sicher weil ihr mir helfen wollt. ^^

Und nein, "nichts tun" ist nicht die Lösung da er schon wieder nicht läuft. Das ist immer nur Phasenweise.

Ich hab echt kein Plan was da abgeht.

mfg ich

Edit: Jetzt ist der ganze Server komplett abgestürzt. Er ist jetzt weder per ping, ftp, web, mail, ssh, console noch sonst was erreichbar.

Kann es evtl. auch an der Hardware liegen? den Habe ich immerhin schon über 3Jahre.

Thorsten · #15 02.07.2008, 11:09

Hallo!
Ich verstehe jetzt die Aufregung nicht: Du weist was auf deinem Server schief geht (viele HTTP Anfragen), du weist woher sie kommen (Topliste) und dir wurden Lösungsvorschläge unterbreitet (iptables, mod_evasive, mod_security, ...).

mfG
Thorsten

Edit: Hinterher Grundsatzänderungen an einem Post durchzuführen find ich irgendwie uncool.