285 Requests in 24 Sekunden durch Referrer Spam :/

D

dev

Registered User
Moin,

vorhin hat mich mein Monitoring aus dem Bett geklingelt *gähn*. Der Apache wurde von monit aufgrund des oberen Speicherlimits neu gestartet. Hatte ich bisher noch nie.

Nun habe ich rumgesucht und versucht den Vorgang zu rekonstruieren und habe folgendes festgestellt:

Ich habe 285 http Requests auf eine meiner Seiten in 24 Sekunden gehabt. Kein Wunder, dass der Apache zuckt.

Anscheinend ist das Referrer Spam. Hiermal ein Auszug der ersten Zeilen:

85.179.8.117 - - [18/Dec/2008:01:23:33 +0100] "GET / HTTP/1.1" 301 234 "http://php-script-*****.de/" "Firefox/3.0.4" 121 525
85.179.8.117 - - [18/Dec/2008:01:23:33 +0100] "GET / HTTP/1.1" 200 23179 "http://php-script-*****.de/" "Firefox/3.0.4" 125 23928
85.179.8.117 - - [18/Dec/2008:01:23:34 +0100] "GET /archiv/begriff1 HTTP/1.1" 301 273 "http://php-script-*****.de/" "Firefox/3.0.4" 160 603
85.179.8.117 - - [18/Dec/2008:01:23:34 +0100] "GET /archiv/begriff2 HTTP/1.1" 301 271 "http://php-script-*****.de/" "Firefox/3.0.4" 158 599
85.179.8.117 - - [18/Dec/2008:01:23:34 +0100] "GET /archiv/begriff3 HTTP/1.1" 301 261 "http://php-script-*****.de/" "Firefox/3.0.4" 148 579
85.179.8.117 - - [18/Dec/2008:01:23:34 +0100] "GET /archiv/begriff4 HTTP/1.1" 301 264 "http://php-script-s*****.de/" "Firefox/3.0.4" 151 585
85.179.8.117 - - [18/Dec/2008:01:23:34 +0100] "GET /archiv/begriff5 HTTP/1.1" 301 263 "http://php-script-*****.de/" "Firefox/3.0.4" 150 583
85.179.8.117 - - [18/Dec/2008:01:23:34 +0100] "GET /archiv/begriff6 HTTP/1.1" 301 264 "http://php-script-*****.de/" "Firefox/3.0.4" 151 585
Click to expand...


Das erste Problem ist natürlich die Verhinderung dessen. Das löse ich über die htaccess, allerdings greifen da nur Begriffe, die ich auch eingepflegt habe. Die Domain aus dem Log ist bisher noch nicht mit dabei.

Gibt es einen anderen Weg?

Jo, und das zweite Problem bereitet mir mehr Kopfzerbrechen: Ich habe mod_evasive installiert und mein CMS hat auch eine Auto-Throttling Funktion. Nichts hat gegriffen. Wenn ich mich beim entwickeln zu schnell über die Seiten bewege, fliege ich selbst raus und jemand, der fast einen DOS fährt, bringt die Kiste zum Wanken und die Teile springen nicht an? Von mod_evasive hatte ich bisher einen ganz zuverlässigen Eindruck?

Wie kann das sein?

OS: Debian + Apache2-mpm-worker + PHP5

Für Hilfe dankt dev...
 
285 Request / 24 Sek = ~12 Req/Sek
Das ist nicht wirklich viel, dass muss der Apache locker wegstecken, ansonsten liegt einefach eine Fehlkonfiguration vor oder du hast viel zu wenig Ressourcen.

Zum Auto-Throttling vom CMS: Das greift nur, wenn direkt Seiten aufgerufen werden, welche auch vom CMS behandelt werden. Wird statischer Content abgerufen, dann klappt das natürlich nicht.
 
Danke Doc. Fehlkonfiguration insofern, als das ich die monit-Grenzen heute morgen nach oben gesetzt habe. Der Apache hatte zur Zeit der Zugriffe ca. 520 MB Verbrauch. Hätte ich monit nicht installiert, hätte ich gar nichts davon gemerkt.

Im Moment fehlt mir noch das Gefühl dafür, was "viel" und "wenig" ist. So habe ich nun schon einmal einen Hinweis.

Wegen dem CMS Throttling: Die Seiten sind schon vom CMS ausgeliefert worden, die URLs gibt es in echt wirklich. Hmm...
 
You must log in or register to reply here.
Back
Top