Angriffe auf Webserver - 1000e IPs

[bombaldi]

Hallo liebe Community,

Mein Webserver steht unter staendigen Floods, hier mal ein mod_status auszug:

666-0 8203 0/633/633 W 1.31 5 0 0.0 0.82 0.82 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
668-0 8205 0/564/564 W 1.14 0 0 0.0 0.71 0.71 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
674-0 8211 0/535/535 _ 1.46 0 4567 0.0 1.05 1.05 62.47.202.68 www.de.vhost.com GET / HTTP/1.1
675-0 12691 0/40/503 _ 0.01 0 15514 0.0 0.04 0.85 220.233.73.35 www.de.vhost.com GET / HTTP/1.1
676-0 8869 0/459/523 _ 0.67 5 15386 0.0 0.50 0.56 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
677-0 8214 0/516/516 _ 1.19 1 13255 0.0 0.79 0.79 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
691-0 11006 0/76/550 W 0.05 13 0 0.0 0.08 0.58 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
693-0 8230 0/519/519 _ 0.35 3 5899 0.0 0.67 0.67 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
696-0 12695 0/50/483 W 0.05 7 0 0.0 0.06 1.18 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
698-0 12697 0/66/574 _ 0.01 2 15644 0.0 0.08 0.55 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
706-0 10632 0/120/543 _ 0.12 0 8864 0.0 0.14 0.80 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
708-0 8245 0/517/517 W 0.77 7 0 0.0 0.63 0.63 99.248.236.206 www.de.vhost.com GET / HTTP/1.1
709-0 9662 0/234/509 W 1.65 2 0 0.0 0.35 0.67 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
713-0 11007 0/67/490 W 0.75 13 0 0.0 0.14 0.74 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
716-0 9913 0/205/536 W 0.69 5 0 0.0 0.25 0.58 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
718-0 12700 0/55/638 _ 0.07 5 15725 0.0 0.06 0.96 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
721-0 8258 0/492/492 W 2.24 3 0 0.0 0.78 0.78 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
723-0 8260 0/491/491 W 1.42 3 0 0.0 0.68 0.68 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
724-0 8261 0/539/539 W 0.52 12 0 0.0 0.61 0.61 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
726-0 10633 0/120/507 _ 0.17 4 15260 0.0 0.12 0.61 83.55.48.221 www.de.vhost.com GET / HTTP/1.1
729-0 8266 0/534/534 W 1.61 4 0 0.0 0.80 0.80 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
734-0 8271 0/451/451 _ 1.03 4 15116 0.0 0.66 0.66 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
735-0 8272 0/502/502 _ 1.25 5 15501 0.0 0.53 0.53 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
736-0 9463 0/310/534 W 0.42 3 0 0.0 0.46 0.87 146.87.193.4 www.de.vhost.com GET / HTTP/1.1
740-0 8914 0/425/538 _ 0.77 1 9624 0.0 0.50 0.70 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
741-0 12703 0/65/590 W 0.03 9 0 0.0 0.08 0.73 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
748-0 11008 0/113/524 W 0.90 9 0 0.0 0.27 0.68 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
752-0 9558 0/280/561 W 1.24 6 0 0.0 0.41 0.69 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
762-0 12709 0/37/499 _ 0.07 1 15855 0.0 0.05 0.68 86.134.75.219 www.de.vhost.com GET / HTTP/1.1
763-0 8300 0/610/610 W 1.16 1 0 0.0 0.76 0.76 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
766-0 8303 0/524/524 _ 1.47 1 6369 0.0 0.62 0.62 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
768-0 8305 0/521/521 W 0.78 5 0 0.0 0.79 0.79 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
772-0 12711 0/51/491 W 0.22 0 0 0.0 0.06 0.50 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
775-0 9338 0/345/550 W 0.36 8 0 0.0 0.34 0.58 146.87.193.4 www.de.vhost.com GET / HTTP/1.1
781-0 8779 0/479/514 _ 1.53 4 15442 0.0 0.78 0.81 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
783-0 8853 0/578/646 _ 0.58 2 15480 0.0 0.71 0.78 86.134.75.219 www.de.vhost.com GET / HTTP/1.1
784-0 9514 0/242/486 _ 2.81 3 13576 0.0 0.62 0.85 84.194.142.154 www.de.vhost.com GET / HTTP/1.1
786-0 12716 0/35/473 W 0.09 14 0 0.0 0.05 0.53 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
789-0 8326 0/588/588 _ 1.32 3 15269 0.0 0.71 0.71 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
801-0 9123 0/388/585 W 0.56 0 0 0.0 0.53 0.81 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
809-0 8346 0/531/531 W 1.24 1 0 0.0 0.76 0.76 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
811-0 12718 0/61/505 W 0.06 11 0 0.0 0.07 0.71 84.194.142.154 www.de.vhost.com GET / HTTP/1.1
813-0 8350 0/525/525 W 0.49 1 0 0.0 0.58 0.58 91.96.114.54 www.de.vhost.com GET / HTTP/1.1
816-0 8353 0/548/548 _ 0.52 1 1627 0.0 0.66 0.66 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
822-0 9670 0/235/519 _ 0.37 5 15544 0.0 0.25 0.67 83.55.48.221 www.de.vhost.com GET / HTTP/1.1
823-0 8360 0/476/476 W 1.08 4 0 0.0 0.71 0.71 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
824-0 12721 0/27/537 W 0.69 10 0 0.0 0.10 0.85 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
827-0 9311 0/391/551 W 0.75 1 0 0.0 0.43 0.57 83.55.48.221 www.de.vhost.com GET / HTTP/1.1
839-0 8376 0/533/533 _ 0.98 2 15402 0.0 1.03 1.03 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
841-0 8378 0/567/567 W 1.34 2 0 0.0 0.68 0.68 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
842-0 12724 0/67/539 W 0.74 5 0 0.0 0.16 0.63 99.248.236.206 www.de.vhost.com GET / HTTP/1.1
844-0 8381 0/506/506 W 2.40 8 0 0.0 0.81 0.81 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
849-0 9663 0/254/497 W 1.24 4 0 0.0 0.49 0.73 84.194.142.154 www.de.vhost.com GET / HTTP/1.1
851-0 9312 0/339/545 _ 0.32 1 15454 0.0 0.32 0.52 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
855-0 8854 0/485/533 W 0.39 2 0 0.0 0.54 0.58 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
858-0 9400 0/353/553 W 0.37 6 0 0.0 0.51 0.69 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
859-0 8396 0/462/462 _ 0.67 1 15496 0.0 0.53 0.53 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
860-0 8861 0/466/523 W 1.00 13 0 0.0 0.62 0.67 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
864-0 12729 0/77/530 W 0.03 3 0 0.0 0.07 0.59 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
865-0 9452 0/308/563 W 0.61 6 0 0.0 0.44 0.78 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
867-0 8404 0/563/563 _ 0.72 0 7824 0.0 0.66 0.66 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
869-0 9215 0/358/513 _ 0.49 0 6052 0.0 0.56 0.69 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
874-0 12732 0/50/567 W 0.02 0 0 0.0 0.06 0.80 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
876-0 8413 0/538/538 W 0.51 12 0 0.0 0.73 0.73 92.252.6.15 www.de.vhost.com GET / HTTP/1.1
880-0 8417 0/482/482 W 0.90 1 0 0.0 0.47 0.47 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
885-0 8422 0/531/531 W 1.27 0 0 0.0 1.04 1.04 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
894-0 8431 0/512/512 W 1.30 13 0 0.0 0.64 0.64 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
896-0 9244 0/335/474 W 1.01 13 0 0.0 0.58 0.76 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
899-0 9947 0/186/510 W 0.38 1 0 0.0 0.28 0.57 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
900-0 8437 0/475/475 _ 1.52 0 15525 0.0 0.68 0.68 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
910-0 12735 0/63/545 _ 0.10 1 15211 0.0 0.17 0.88 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
911-0 12736 0/52/555 _ 0.10 3 5712 0.0 0.11 0.74 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
912-0 9388 0/334/513 _ 0.54 0 14146 0.0 0.42 0.57 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
914-0 8451 0/531/531 _ 1.32 2 15728 0.0 0.86 0.86 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
915-0 8452 0/518/518 W 1.52 3 0 0.0 0.95 0.95 146.87.193.4 www.de.vhost.com GET / HTTP/1.1
916-0 10320 0/150/533 W 0.09 9 0 0.0 0.17 0.53 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
917-0 8454 0/572/572 _ 2.07 0 1490 0.0 1.13 1.13 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
920-0 8980 0/431/553 _ 1.01 0 15521 0.0 0.54 0.64 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
922-0 8459 0/522/522 W 1.46 11 0 0.0 0.89 0.89 91.96.114.54 www.de.vhost.com GET / HTTP/1.1
927-0 8464 0/521/521 _ 0.59 1 6354 0.0 0.62 0.62 62.47.202.68 www.de.vhost.com GET / HTTP/1.1
929-0 8466 0/533/533 _ 0.50 0 10656 0.0 0.86 0.86 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
947-0 8484 0/486/486 W 0.65 4 0 0.0 0.68 0.68 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
950-0 8487 0/525/525 W 1.31 6 0 0.0 0.58 0.58 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
955-0 9110 0/419/570 W 1.41 1 0 0.0 0.82 1.20 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
959-0 8856 0/513/567 _ 2.42 0 4345 0.0 0.69 0.74 146.87.193.4 www.de.vhost.com GET / HTTP/1.1
971-0 8508 0/510/510 W 0.56 6 0 0.0 0.60 0.60 82.201.169.77 www.de.vhost.com GET / HTTP/1.1
987-0 8524 0/510/510 W 0.33 4 0 0.0 0.47 0.47 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
990-0 8527 0/521/521 _ 1.11 1 15287 0.0 0.60 0.60 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
992-0 - 0/0/475 . 1.50 265 5462 0.0 0.00 0.56 82.3.119.212 www.de.vhost.com GET / HTTP/1.1
995-0 8532 0/489/489 W 0.96 0 0 0.0 0.82 0.82 84.194.142.154 www.de.vhost.com GET / HTTP/1.1
996-0 10312 0/166/544 W 0.16 11 0 0.0 0.23 0.63 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
997-0 9533 0/257/545 W 1.81 6 0 0.0 0.65 0.92 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
999-0 8536 0/567/567 _ 1.24 4 15593 0.0 0.72 0.72 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
1000-0 8537 0/537/537 _ 1.66 0 12393 0.0 0.76 0.76 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
1003-0 8540 0/504/504 W 0.22 0 0 0.0 0.47 0.47 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
1011-0 8548 0/500/500 _ 0.89 5 10757 0.0 0.62 0.62 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
1015-0 - 0/0/468 . 0.97 243 6758 0.0 0.00 0.68 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
1016-0 9234 0/356/527 _ 1.15 0 284 0.0 0.46 0.63 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
1022-0 12768 0/48/492 _ 0.03 0 15315 0.0 0.05 0.57 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
1023-0 12769 0/50/495 W 0.11 7 0 0.0 0.07 0.56 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
1025-0 8562 0/540/540 W 0.85 5 0 0.0 0.67 0.67 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
1027-0 8857 0/513/562 _ 0.49 3 11107 0.0 0.60 0.63 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
1044-0 12772 0/51/493 W 0.02 12 0 0.0 0.09 0.57 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
1048-0 9593 0/258/544 _ 0.72 1 6272 0.0 0.25 0.51 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
1051-0 8613 0/552/552 W 2.01 4 0 0.0 0.79 0.79 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
1053-0 8858 0/474/542 W 1.55 13 0 0.0 0.63 0.75 78.30.131.71 www.de.vhost.com GET / HTTP/1.1
1062-0 11015 0/81/473 _ 0.17 0 15142 0.0 0.19 0.62 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
1068-0 8631 0/523/523 _ 1.19 2 15225 0.0 0.79 0.79 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
1070-0 12777 0/60/460 W 0.05 6 0 0.0 0.07 0.55 62.47.202.68 www.de.vhost.com GET / HTTP/1.1
1073-0 12780 0/45/502 _ 0.02 0 14674 0.0 0.05 0.98 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
1076-0 8645 0/473/473 W 0.35 4 0 0.0 0.59 0.59 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
1078-0 - 0/0/462 . 0.58 271 3915 0.0 0.00 0.72 24.17.207.201 www.de.vhost.com GET / HTTP/1.1
1081-0 11018 0/70/525 W 0.32 8 0 0.0 0.16 0.62 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
1082-0 8651 0/558/558 W 2.06 2 0 0.0 0.88 0.88 62.47.202.68 www.de.vhost.com GET / HTTP/1.1
1083-0 8652 0/512/512 _ 0.94 1 15063 0.0 0.61 0.61 86.134.75.219 www.de.vhost.com GET / HTTP/1.1
1088-0 9097 0/338/475 W 0.75 4 0 0.0 0.38 0.58 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
1090-0 10322 0/148/557 W 0.43 1 0 0.0 0.18 0.81 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
1091-0 8660 0/493/493 _ 0.50 0 664 0.0 0.60 0.60 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
1097-0 8666 0/579/579 W 0.53 2 0 0.0 0.61 0.61 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
1098-0 8667 0/547/547 W 1.74 3 0 0.0 0.90 0.90 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
1099-0 8668 0/538/538 W 0.68 2 0 0.0 0.71 0.71 84.194.142.154 www.de.vhost.com GET / HTTP/1.1

Es waren ca. 700 unterschiedliche IPs, Ich habe jetzt folgendes gemacht: mod_status ausgabe mittels grep und awk geparsed und einfach mal alle IPs mit iptables gedroppt, zusaetzlich ein Script geschrieben welches gnadenlos alles bannt was mehr als 60 gleichzeitige Connections macht, dazu noch mod_cband und mod_evasive.

Allerdings hilft das sicherlich nur temporaer, ich brauche einen Weg das ganze Automatisch zu machen, habe aber keine vernuenfitge Idee fuer einen Loesungsansatz und hoffe hier kann mir geholfen werden....

Sowas wie mod_status fuer die console wuerde mir z.b. helfen, also wenn ich die entsprechenden IPs rausparsen kann.
Man koennte ja alle 10 sekunden die Ausgabe pruefen lassen und wenn dort eine IP des Vhosts "xyz" auffaellig wird also zb in 5minuten mehr als 200 requests gemacht hat wird sie an Iptables uebergeben...

Naja, hoffe mal euch faellt etwas besseres ein

Ein paar vernuenftige Iptable rules koennten evtl natuerlich auch helfen, allerdings lassen sich diese " get http 1.1 / " Requests ja schlecht von normalen Browseranfragen unterscheiden

Danke
Tom

 

[Firewire2002]

Evtl. die Limitwerte von mod_cband und mod_evasive etwas runterziehen. Die arbeiten schon recht zuverlässig.
Mit IPTables kannst du auch Verbindungen pro Sekunde zählen lassen und gegebenfalls blocken.

Alternativ könnte man auch mit Fail2Ban die access.log vom Apache parsen lassen und darüber entsprechende IPTables Drops setzen.

 

[bombaldi]

Danke Firewire, das hoert sich schonmal sinnvoll an, das Problem ist nur das cband zwar gut wirkt, nur die CPU durch die vielen Requests auf ' wa ' springt und dadurch das Ganze system auslastet

Fail2Ban hatte ich zwar noch nie im Betrieb, werde mir das aber mal ansehen und evtl auf meine Beduerfnisse anpassen...

Mit IPTables kannst du auch Verbindungen pro Sekunde zählen lassen und gegebenfalls blocken.

Fuer ein Praxisbeispiel waere ich dir dankbar Ist das dass mit dem Hashlimit?

Fuer weitere Ratschlaege bin ich nach wie vor dankbar :/

lg
Tom

 

[Firewire2002]

Schau dir mal sareyko.net: Brute-Force-Angriffe mit Hilfe von Iptables abwehren an.
Da ist das ganz gut beschrieben.