Apache2 wird von einer Topliste zugespamt!

killahmark · Jun 5, 2007

Guten Tag,
mein Server wird von einer Topliste zugespammt. Von der Seite gehen mehrere Requests in einer Sekunde an mein Apache-Webserver. Auszug von apache2 log:

Code:

88.224.***.*** - - [05/Jun/2007:16:38:04 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SIMBAR={72123C06-884B-4926-8502-3B4E2B4B1315})"
88.254.**.*** - - [05/Jun/2007:16:38:04 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.242.***.*** - - [05/Jun/2007:16:38:05 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.226.***.*** - - [05/Jun/2007:16:38:05 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.226.***.** - - [05/Jun/2007:16:38:05 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.241.***.*** - - [05/Jun/2007:16:38:06 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.233.***.*** - - [05/Jun/2007:16:38:07 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.100.**.** - - [05/Jun/2007:16:38:08 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.99.*.*** - - [05/Jun/2007:16:38:08 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.0" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.238.**.*** - - [05/Jun/2007:16:38:09 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

Ich hab die IP-Adressen mal versteckt weil ich nicht weiß ob das hier erlaubt ist. Falls die Seite auch nicht erlaubt ist, tut es mir leid, dachte mir nur das man mir dann besser helfen kann.
Naja, mein Versuch:
Ich wollte die Internet Seite sperren (also auf meinem Server) hab schon einiges versucht wie z.B. in der .htaccess (im Verzeichnis /toplist/) folgenden Code reingeschrieben:

Code:

Order deny,allow
Deny from .securitysafe.net
Deny from www.securitysafe.net
Allow from all

Aber da kommt nur die Fehlermeldung 500 - keine Rechte und die Seite wird auch nicht geblockt. Und nun steh ich hier und bin Ratlos.

PS: Ich hab mich bei der Topliste garnicht eingetragen...

Mit freundlichen Grüßen,
mark

Firewire2002 · Jun 5, 2007

Drop deren IPs via IPTables und gut.
Bzw. IP Ranges.

killahmark · Jun 5, 2007

Achso, ich soll also hunderte von ips blocken? Und wenn ich die IP von dem Server block ergibt das auch kein Ergebnis!

Firewire2002 · Jun 5, 2007

Was willst du mit "löschen"?

Der Zugriff durch diese IPs auf deinen Server wird geblockt.

Was erhoffst du denn sonst zu tun?
Deren Admin anzubetteln das er tätig wird?

Gegenbenfalls könnte man noch eine Abuse Mail an den ISP schicken.

killahmark · Jun 5, 2007

meinte ich auch mit löschen, bei MySQL ist DROP eben löschen...
also normalerweise sollte es gehen wenn man die ip vom server sperrt oder wie meinst du das? ich mein, die ips von den leuten die auf die page zugreifen wollen ist nie die gleiche und mittels 24h trennung wird es auch nie die gleiche sein... Firewall hab ich nur eine schlechte (vom Serveranbieter) drauf, d.h. deaktiviert. Aber danke für deine schnellen Antworten.

Firewire2002 · Jun 5, 2007

killahmark said:
also normalerweise sollte es gehen wenn man die ip vom server sperrt oder wie meinst du das?

Ja im Normalfall wird das so gehandhabt.

killahmark said:
ich mein, die ips von den leuten die auf die page zugreifen wollen ist nie die gleiche und mittels 24h trennung wird es auch nie die gleiche sein...

Dann hast du ein denkbar schlechtes Beispiel aus den Logfiles gebracht. Da sind größtenteils die ersten 2 Segmente gleich.

killahmark said:
Firewall hab ich nur eine schlechte (vom Serveranbieter) drauf, d.h. deaktiviert.

Wir reden hier von einem Linux System ja?
Das heißt es wird IPTables verfügbar sein.

IPTables ist der beste Paketfilter (umgangssprachlich auch als Firewall bezeichnet, obwohl da eigentlich noch bisschen mehr dazu gehören müsste

) den du auf dem Markt finden wirst.

Das die IPTables nicht so funktionieren wie sie sollen, liegt alleinig am Admin und nicht an der Software.

killahmark · Jun 5, 2007

ok, ich hab von iptables noch nie was gehört aber ich werd mal bei google nachlesen etc. danke

Firewire2002 · Jun 5, 2007

Firewire2002 said:
Das die IPTables nicht so funktionieren wie sie sollen, liegt alleinig am Admin und nicht an der Software.

Ist bei vServern/RootDS nicht ganz so Krass zu sehen.
Viele Funktionen der IPTables erfordern bestimmte Kernelmodule die oft nicht vom Provider geladen werden.

Aber das was du brauchst sollte definitiv funktionieren.

markus · Jun 5, 2007

killahmark said:
Code:

Order deny,allow Deny from .securitysafe.net Deny from www.securitysafe.net Allow from all

Damit blockierst Du Zugriffe vom Rechner securitysafe.net. Du möchtest aber alle blockieren, die von den Web-Seiten auf diesem Rechner auf Deinen verwiesen werden. Das ist etwas anderes (und deshalb halte ich auch die IPtables-Geschichte für ziemlich ungeeignet, insbesondere, wenn Du nicht weisst, was Du tust).

Versuch mal folgende .htaccess-Datei:

Code:

SetEnvIfNoCase Referer securitysafe.net nervt=yes
order deny,allow
deny from env=nervt

Wenn das mal wieder passiert, kannst Du einfach eine weitere SetEnvIfNoCase ...-Zeile einfügen und den Rest so lassen.

Firewire2002 · Jun 5, 2007

Die htaccess Methode hat aber einen entscheidenden Nachteil.
Der Connectionflood brasselt weiter ungehindert auf den Apache und verursacht last.

killahmark · Jun 5, 2007

hm, wenn ich eine .htaccess erstelle hab ich immer die seite:

Serverfehler!

Die Anfrage kann nicht beantwortet werden, da im Server ein interner Fehler aufgetreten ist. Der Server ist entweder überlastet oder ein Fehler in einem CGI-Skript ist aufgetreten.

Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.
Error 500

wie kann ich das Aktivieren?

Die htaccess Methode hat aber einen entscheidenden Nachteil.
Der Connectionflood brasselt weiter ungehindert auf den Apache und verursacht last.

da hab ich einiges anderes gehört, die .htaccess verhindert den zugriff auf den server

markus · Jun 5, 2007

Firewire2002 said:
Die htaccess Methode hat aber einen entscheidenden Nachteil.
Der Connectionflood brasselt weiter ungehindert auf den Apache und verursacht last.

Er möchte alle Requests abblocken, die den genannten Referer haben und von unbekannten, häufig wechselnden IP-Adressen kommen. Wie soll er das mit iptables machen?

@killahmark: welche Rechte hat Deine .htaccess?

killahmark · Jun 5, 2007

Ich habe verschiedene Rechte versucht: standard, 0755, 0777. Diese gehen alle nicht.

Firewire2002 · Jun 5, 2007

Warum muss man sich eigentlich in jedem Thread mindestens einmal wiederholen.

Dann hast du ein denkbar schlechtes Beispiel aus den Logfiles gebracht. Da sind größtenteils die ersten 2 Segmente gleich.

killahmark · Jun 5, 2007

Code:

88.233.232.192 - - [05/Jun/2007:19:16:19 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.228.153.41 - - [05/Jun/2007:19:16:19 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
81.213.62.158 - - [05/Jun/2007:19:16:20 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.108.179.183 - - [05/Jun/2007:19:16:20 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
88.240.91.20 - - [05/Jun/2007:19:16:20 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.243.40.25 - - [05/Jun/2007:19:16:21 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.240.127.220 - - [05/Jun/2007:19:16:21 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; ADVPLUGIN|K115|165|S-1672438021|dialno)"
88.224.112.230 - - [05/Jun/2007:19:16:22 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.110.109.155 - - [05/Jun/2007:19:16:22 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
85.103.54.200 - - [05/Jun/2007:19:16:22 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.251.132.44 - - [05/Jun/2007:19:16:23 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SIMBAR=0)"
88.251.181.29 - - [05/Jun/2007:19:16:23 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)"
85.106.184.214 - - [05/Jun/2007:19:16:23 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.224.177.4 - - [05/Jun/2007:19:16:23 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1077 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
81.214.253.83 - - [05/Jun/2007:19:16:24 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"
88.242.135.186 - - [05/Jun/2007:19:16:24 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
88.231.229.183 - - [05/Jun/2007:19:16:24 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MathPlayer 2.10a; .NET CLR 2.0.50727)"
88.227.159.148 - - [05/Jun/2007:19:16:25 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
88.247.190.235 - - [05/Jun/2007:19:16:25 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.238.111.16 - - [05/Jun/2007:19:16:26 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
88.240.161.122 - - [05/Jun/2007:19:16:26 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
85.102.100.105 - - [05/Jun/2007:19:16:26 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.224.216.7 - - [05/Jun/2007:19:16:27 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.238.40.13 - - [05/Jun/2007:19:16:27 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
88.254.238.179 - - [05/Jun/2007:19:16:27 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
88.232.160.59 - - [05/Jun/2007:19:16:28 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.228.95.166 - - [05/Jun/2007:19:16:28 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.243.95.132 - - [05/Jun/2007:19:16:29 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
172.178.222.172 - - [05/Jun/2007:19:16:29 +0200] "GET /onepiece-rpg/preview6.png HTTP/1.1" 200 14420 
88.251.185.98 - - [05/Jun/2007:19:16:30 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
88.231.3.246 - - [05/Jun/2007:19:16:30 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.243.92.45 - - [05/Jun/2007:19:16:30 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
172.178.222.172 - - [05/Jun/2007:19:16:30 +0200] "GET /onepiece-rpg/preview10.png HTTP/1.1" 200 14201 "http://www.anime-seed.de/index2.php?content=rpg-fanprojekt" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
85.97.89.124 - - [05/Jun/2007:19:16:30 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
88.227.175.163 - - [05/Jun/2007:19:16:30 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
81.214.182.203 - - [05/Jun/2007:19:16:30 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SIMBAR={9589A6FD-20E9-48ba-B686-2FA987F2D9B3}; .NET CLR 2.0.50727)"
88.233.43.30 - - [05/Jun/2007:19:16:31 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.245.15.74 - - [05/Jun/2007:19:16:31 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
88.241.1.142 - - [05/Jun/2007:19:16:31 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
85.96.82.220 - - [05/Jun/2007:19:16:31 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
85.110.155.228 - - [05/Jun/2007:19:16:32 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.243.59.7 - - [05/Jun/2007:19:16:32 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
77.180.169.219 - - [05/Jun/2007:19:16:32 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1161 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; 1&1 Internet AG by USt)"
88.243.1.175 - - [05/Jun/2007:19:16:32 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; FDM)"
81.213.69.30 - - [05/Jun/2007:19:16:32 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
85.104.212.254 - - [05/Jun/2007:19:16:33 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
88.231.3.176 - - [05/Jun/2007:19:16:34 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
88.231.198.47 - - [05/Jun/2007:19:16:35 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.96.186.240 - - [05/Jun/2007:19:16:36 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.178.12.49 - - [05/Jun/2007:19:16:36 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1161 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
88.253.44.158 - - [05/Jun/2007:19:16:37 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 500 1144 "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Da ist eben die Fehlermeldung 500 in dem Apache log und mindestens einmal pro Sekunde ein Request, und wenn ich die IP 88.*.*.* etc. blocke kommen die Leute mit der IP 88.*.*.* auf garkeine Seite mehr.

Firewire2002 · Jun 5, 2007

Ich würde 88.200.x.x bis 88.255.x.x droppen.

Das User aus diesen Adressbereichen dann nicht mehr zugreifen können ist richtig.
Hier bleibt abzuwägen, wieviel internationale User du hast und ob die vorrangig aus diesem Adressbereich kommen.
Um dann letzendlich die Entscheidung zu treffen ob es wichtiger ist die User drauf lassen zu müssen oder auf ein paar wenige User zu verzichten und dafür diese Bots besser blocken zu können und die Serverlast zu mindern.

Eine solche Entscheidung kann dir keiner abnehmen, hier kommen allerhöhstens Vorschläge zur Lösung.
Welche Lösung davon für dich am geeignesten ist, musst du entscheiden.

killahmark · Jun 5, 2007

Laut header sind es ganz normale Leute, mich nervt nur die Seite http://www.securitysafe.net/five/ekran.htm also wenn .htaccess funktioniert wär das die beste Lösung finde ich.

markus · Jun 5, 2007

Firewire2002 said:
Warum muss man sich eigentlich in jedem Thread mindestens einmal wiederholen.

Muss man nicht. Und in dem ursprünglichen Logausschnitt sind nur in einem einzigen Fall die ersten beiden Segmente gleich, sonst nicht.

@killahmark: Schau mal in das error.log des Apache. Da sollte drin stehen, warum der Error 500 kommt.

killahmark · Jun 5, 2007

Code:

[Tue Jun 05 20:07:40 2007] [alert] [client 88.242.33.38] /srv/www/htdocs/web9/html/toplist/.htaccess: order not allowed here, referer: http://www.securitysafe.net/five/ekran.htm
[Tue Jun 05 20:07:40 2007] [alert] [client 88.247.42.91] /srv/www/htdocs/web9/html/toplist/.htaccess: order not allowed here, referer: http://www.securitysafe.net/five/ekran.htm
[Tue Jun 05 20:07:41 2007] [alert] [client 88.228.158.212] /srv/www/htdocs/web9/html/toplist/.htaccess: order not allowed here, referer: http://www.securitysafe.net/five/ekran.htm
[...]

kommt aber auch wenn ich darauf geh und ich komm nicht von der Seite.

markus · Jun 5, 2007

Ok, streiche mal in meinem Vorschlag von vorhin die Zeile, die mit "order" beginnt und teste nochmal.

Apache2 wird von einer Topliste zugespamt!

New Member

Registered User

New Member

Registered User

New Member

Registered User

New Member

Registered User

Registered User

Registered User

New Member

Registered User

New Member

Registered User

New Member

Registered User

New Member

Registered User

New Member

Registered User

We value your privacy