Apache2 wird von einer Topliste zugespamt!

killahmark · Jun 5, 2007

Code:

SetEnvIfNoCase Referer securitysafe.de nervt=yes
deny from env=nervt

dann kommt folgender Fehler:

Code:

[Tue Jun 05 20:19:59 2007] [alert] [client 88.64.91.38] /srv/www/htdocs/web9/html/toplist/.htaccess: deny not allowed here, referer: http://anime-seed.de/

hast du vielleicht ICQ oder MSN? Darüber lässt es sich leichter klären denk ich mal.

markus · Jun 5, 2007

killahmark said:
hast du vielleicht icq oder msn? darüber lässt es sich leichter klären denk ich mal

Sorry, instant messaging habe ich nicht.

Pack das mit order wieder rein und schaue in die Datei, in der Du den virtuellen Server deklariert hast (bei mir z.B. /etc/apache2/sites-available/servername).

Dort muss mindestens

Code:

AllowOverride Limit

stehen, damit order funktioniert. (Doku unter core - Apache HTTP Server )

flyingoffice · Jun 5, 2007

Hallo!

Für einen "one the fly" Support könnt ihr auch den SSF Chat benutzen.

Gruß flyingoffice

killahmark · Jun 5, 2007

Also ich habe jetzt in der .htaccess folgendes stehen:

Code:

SetEnvIfNoCase Referer securitysafe.de nervt=yes
order deny,allow
deny from env=nervt

aber in dem Apache-Log kommen immernoch die Requests durch.

markus · Jun 5, 2007

killahmark said:
Also ich habe jetzt in der .htaccess folgendes stehen:

Code:

SetEnvIfNoCase Referer securitysafe.de nervt=yes order deny,allow deny from env=nervt

aber in dem Apache-Log kommen immernoch die Requests durch.

Probier mal "securitysafe.net".

- hatte ich vorhin auch falsch getippt und dann schnell korrigiert.

killahmark · Jun 5, 2007

Also gut, ich hab nun in der .htaccess diesen Code stehen:

Code:

SetEnvIfNoCase Referer securitysafe.net nervt=yes
order deny,allow
deny from env=nervt

und in dem Apache Error-Log steht:

Code:

[Tue Jun 05 23:02:57 2007] [error] [client 88.224.137.141] client denied by server configuration: /srv/www/[...]/button.php, referer: http://www.securitysafe.net/five/ekran.htm
[Tue Jun 05 23:02:59 2007] [error] [client 85.108.34.67] client denied by server configuration: /srv/www/[...]/button.php, referer: http://www.securitysafe.net/five/ekran.htm
[Tue Jun 05 23:03:00 2007] [error] [client 88.235.243.132] client denied by server configuration: /srv/www/[...]/button.php, referer: http://www.securitysafe.net/five/ekran.htm
[Tue Jun 05 23:03:00 2007] [error] [client 88.254.180.142] client denied by server configuration: /srv/www/[...]/button.php, referer: http://www.securitysafe.net/five/ekran.htm
[Tue Jun 05 23:03:01 2007] [error] [client 88.242.113.248] client denied by server configuration: /srv/www/[...]/button.php, referer: http://www.securitysafe.net/five/ekran.htm

flyingoffice · Jun 5, 2007

Hallo!

Dann scheint es ja jetzt zu laufen.

Gruß flyingoffice

Elradon · Jun 9, 2007

Aber ist es bei dieser Möglichkeit nicht auch leider so, dass viele Anfragen an den Apache-Server gestellt werden?

markus · Jun 9, 2007

Elradon said:
Aber ist es bei dieser Möglichkeit nicht auch leider so, dass viele Anfragen an den Apache-Server gestellt werden?

Ja, aber sie werden zurückgewiesen (deny), die Lastzunahme ist also recht gering; zumindest geringer im Vergleich zur Ausführung des in diesem Fall aufgerufenen PHP-Scripts.

Da die Anfragen andauernd von anderen IP-Adressen kommen, ist es nicht einfach möglich, auf IP-Ebene zu filtern. Man könnte was basteln, womit der Apache bei einer entsprechenden Anfrage iptables entsprechend aufruft und mit der neuen Adresse füttert (so wie es fail2ban bei ssh macht), es ist aber - ich habe mir die Seite mal angesehen - doch eher unwahrscheinlich, dass die gleiche Adresse mehrfach die Seite aufruft. Es sei denn, es steckt ein unheimlich spannendes Web3.0-Konzept hinter dieser Seite, das ich nicht verstanden habe.

amnesie · Jun 9, 2007

killahmark said:

Guten Tag,
mein Server wird von einer Topliste zugespammt. Von der Seite gehen mehrere Requests in einer Sekunde an mein Apache-Webserver. Auszug von apache2 log:

Code:

88.224.***.*** - - [05/Jun/2007:16:38:04 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SIMBAR={72123C06-884B-4926-8502-3B4E2B4B1315})"
88.254.**.*** - - [05/Jun/2007:16:38:04 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.242.***.*** - - [05/Jun/2007:16:38:05 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.226.***.*** - - [05/Jun/2007:16:38:05 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.226.***.** - - [05/Jun/2007:16:38:05 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.241.***.*** - - [05/Jun/2007:16:38:06 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.233.***.*** - - [05/Jun/2007:16:38:07 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.100.**.** - - [05/Jun/2007:16:38:08 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.99.*.*** - - [05/Jun/2007:16:38:08 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.0" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.238.**.*** - - [05/Jun/2007:16:38:09 +0200] "GET /button.php?u=ekkrankoruyu HTTP/1.1" 302 - "http://www.securitysafe.net/five/ekran.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

Wieso gibt es bei dieser aufgerufenen URL (/button.php) eigentlich einen redirect?

Elradon · Jun 9, 2007

Ich hab noch dies vorzuschlagen:

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?spammseite.de/.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?spammseite2.de/.*$ [NC]
RewriteRule .* - [F,L]

Stellt sich mir nun die Frage, was besser ist.

Firewire2002 · Jun 9, 2007

Elradon said:
Aber ist es bei dieser Möglichkeit nicht auch leider so, dass viele Anfragen an den Apache-Server gestellt werden?

Genau deswegen hab ich gesagt via IPTables die IP Ranges blocken.

Liddll · Jul 30, 2007

hab die gleichen Irren auf meiner Toplist (die sind natürlich gesperrt) - hatte dann eine Mail an deren ISP geschrieben, dann war paar Wochen Ruhe - jetzt sind die Nervtöter wieder aktiv.

ob die .htaccess oder das Script aufgerufen wird - macht wenig Unterschied beim Apache-Prozess .

Hab die button.php bissl getunt und zumindest bekommen die jetzt einen schönen Button (8000x8000px

) angezeigt

PHP:

list($test) = $DB->fetch("SELECT active FROM {$CONF['sql_prefix']}_sites WHERE username = '{$username}'", __FILE__, __LINE__);
if (!$test && (isset($_GET['u']) || isset($_GET['id']))) {
    header("Location: http://lidd.li.ohost.de/ranking8.jpg");
  exit;

markus · Jul 30, 2007

Liddll said:
ob die .htaccess oder das Script aufgerufen wird - macht wenig Unterschied beim Apache-Prozess .

Das kommt auf das Script an, auf jeden Fall sollte es ein Traffic-Unterschied sein, was für manche nicht uninteressant ist.

Hab die button.php bissl getunt und zumindest bekommen die jetzt einen schönen Button (8000x8000px ) angezeigt

Wozu ist diese button.php denn eigentlich gedacht?

marneus · Jul 30, 2007

Stichwort: modsec2iptables

Liddll · Jul 30, 2007

markus said:
Das kommt auf das Script an, auf jeden Fall sollte es ein Traffic-Unterschied sein, was für manche nicht uninteressant ist.

der 8000px Button liegt auf nem Free-Webspace-Anbieter

markus said:
Wozu ist diese button.php denn eigentlich gedacht?

über diese wird eine Statistik-Grafik erzeugt z.b. ...../button.php?u=Liddll

Wenn ich die Seite in der Toplist ablehne wird der Link niemals rausgeschickt, die feinen Herren binden aber trotzdem irgendeinen Code mit button.php?blabla bei sich ein - zum Durchdrehen.

Die Seiten von denen sind seit heute Abend wieder online - musste eben "KeepAlive Off" setzen - sonst geht der Apache schleifen.

SuperJack · Jul 30, 2007

Firewire2002 said:
Genau deswegen hab ich gesagt via IPTables die IP Ranges blocken.

Ich bin auch schwer betroffen, genau vom gleichen Mist. Wie kann ich denn IP-Ranges sperren? Ich meine wie lautet der genaue Befehl?

Gruß SuperJack...

marneus · Jul 30, 2007

Ignoriert ihr alle meine Postings?

SuperJack · Jul 30, 2007

marneus said:
Ignoriert ihr alle meine Postings?

Nein, aber die Google-Suche hat mir nur Lösungen für absolute Profis
gebracht, ich kann damit also überhaupt nichts anfangen. Ich möchte
eigentlich nur schnell und so einfach wie möglich die IP-Ranges
aussperren die mein Server heute massiv angreifen.

Gruß SuperJack...

marneus · Jul 30, 2007

Uha, wenn das schon für Dich in die Kategorie "Server-Profis" fällt dann solltest Du ganz schnell, ganz dringend was an Deinen Serverkenntnissen drehen...

Code:

 iptables -I INPUT -s Netzmaske (z.B. 127.0.0.0/16) -j DROP

Apache2 wird von einer Topliste zugespamt!

New Member

Registered User

flyingoffice

Guest

New Member

Registered User

New Member

flyingoffice

Guest

Member

Registered User

New Member

Member

Registered User

New Member

Registered User

Registered User

New Member

Registered User

Registered User

Registered User

Registered User

We value your privacy