(Apache 2.0.52) Solchen Angriffen vorbeugen

[Wendy]

Hallo,

ich weiß nicht, wie ich mein Problem benennen soll, aber es kommt gelegentlich vor, daß ein Besucher, ich vermute mit einem Programm, eine Seite vielfach hintereinander aufruft, siehe Logauszug:

IP-Adresse - - [11/Oct/2007:07:07:23 -0500] "GET / HTTP/1.1" 200 90413 "-" "Mozilla/4.73 [en] (Win98; U)"
IP-Adresse - - [11/Oct/2007:07:22:35 -0500] "GET /memberlist.php HTTP/1.1" 200 24911 "-" "Mozilla/4.73 [en] (Win98; U)"

Diese Aufrufe rattern dann nur so herunter und der Webserver steigt aus und der Load von 0 auf 180.

Was ist das und wie kann ich mich davor schützen?

Auf dem Webserver läuft lediglich ein vBulletin Forum und Squirrelmail.

Vielen lieben Dank.

Gruß,
Wendy

 

[marneus]

mod_evasive würde das verhindern.

 

[Wendy]

Danke,

leider scheitert es schon bei apx2. Dieses gibt es nicht

Ich habe RHEL 4 mit Plesk 8.2.1

system-config-httpd-1.3.1-1
httpd-suexec-2.0.52-32.ent
httpd-manual-2.0.52-32.ent
httpd-devel-2.0.52-32.3.ent
httpd-2.0.52-32.ent

apx2 kommt ja mit apache2 mit, heißt es bei httpd anders?

Gruß,
Wendy

 

[HornOx]

Offiziell heißt es apxs und müsste im devel Packet drinnen sein.

 

[marneus]

Hallo Wendy,

denk dran, dass Du den richtigen APX2 nimmst. Wahrscheinlich apx2-prefork.

Grüße,
marneus

 

[Wendy]

Danke, es gab nur ein apxs und es scheint wohl geklappt zu haben, es gab keine Fehlermeldung und die erste Mail kam auch an, daß eine IP auf die HTTP Blacklist gesetzt wurde

Hätte noch eine Frage zum Eintrag DOSSiteCount.
DOSSiteCount 50 war beim HowTo eingetragen, da bei manchen Foreneinträgen recht viele Bilder aufgerufen werden, habe ich den Wert auf 100 gesetzt, ist das korrekt, daß DOSSiteCount der Zähler ist, wie viel Aufrufe im access_log gezählt werden?

Gibt es eine Erklärung, bevorzugt deutsch, zu den Einträgen oder könnte mir bitte es jemand kurz erklären?:
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 100
DOSPageInterval 1
DOSSiteInterval 1