mod_evasive bringt nix - Apache2

DHMH

New Member
Hi,
ich habe mich an dieses Tutorial: [HowTo]mod_evasive für Apache2 gehalten, aber mein vServer bei Strato wird immer noch geddost.. ich erhalte zwar (gelegentlich) folgende E-Mails:
mod_evasive HTTP Blacklisted 93.37.52.95
Nebenbei habe ich noch ddos deflate installiert, welches auch noch (sogar mehr als mod_evasive) E-Mails versendet:
Banned the following ip addresses on Tue May 11 15:52:18 CEST 2010

82.173.210.237 with 196 connections
Meine Config:
LoadModule evasive20_module /usr/lib/apache2-prefork/mod_evasive20.so
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
DOSEmailNotify [email protected]
</IfModule>

DANKE IM VORAUS!
lg DHMH

EDIT:
Was sind das für komische Einträge in der /var/log/apache2/access_log?
Code:
93.130.26.153 - - [11/May/2010:15:30:20 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.ask.com/" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.0)"
93.130.26.153 - - [11/May/2010:15:30:30 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.ask.com/" "Opera/7.51 (Windows NT 6.1; U) [en]"
77.169.142.177 - - [11/May/2010:15:30:34 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.ask.com/" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.1)"
93.130.26.153 - - [11/May/2010:15:30:36 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.live.com/" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.1)"
77.169.142.177 - - [11/May/2010:15:30:36 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.google.com/" "Opera/7.51 (Windows NT 5.1; U) [en]"
93.130.26.153 - - [11/May/2010:15:30:37 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.alexa.com/" "Opera/7.51 (Windows NT 6.1; U) [en]"
77.169.142.177 - - [11/May/2010:15:30:37 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.google.com/" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.1)"
77.169.142.177 - - [11/May/2010:15:30:37 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.yahoo.com/" "Opera/7.50 (Windows XP; U)"
77.169.142.177 - - [11/May/2010:15:30:37 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.alexa.com/" "Opera/7.51 (Windows NT 5.0; U) [en]"
93.130.26.153 - - [11/May/2010:15:30:38 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.yahoo.com/" "Opera/7.51 (Windows NT 5.0; U) [en]"
77.169.142.177 - - [11/May/2010:15:30:38 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.alexa.com/" "Opera/7.51 (Windows NT 6.0; U) [en]"
77.169.142.177 - - [11/May/2010:15:30:38 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.live.com/" "Opera/7.50 (Windows XP; U)"
77.169.142.177 - - [11/May/2010:15:30:38 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.ask.com/" "Opera/7.51 (Windows NT 5.2; U) [en]"
77.169.142.177 - - [11/May/2010:15:30:38 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.alexa.com/" "Opera/7.51 (Windows NT 5.0; U) [en]"
77.169.142.177 - - [11/May/2010:15:30:42 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.live.com/" "Opera/7.51 (Windows NT 5.1; U) [en]"
93.130.26.153 - - [11/May/2010:15:30:42 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.yahoo.com/" "Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0)"
77.169.142.177 - - [11/May/2010:15:30:45 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.live.com/" "Opera/7.51 (Windows NT 5.1; U) [en]"
93.130.26.153 - - [11/May/2010:15:30:46 +0200] "GET http://www.myvideo.de HTTP/1.1" 200 1605 "http://www.live.com/"
 
Last edited by a moderator:
Wenn du ddos_deflate benutzt, nutzt du iptables? Wenn ja, werden die Regeln angewendet oder werden die iptables-Regeln vielleicht gar nicht auf dem virtuelllen Server unterstützt?
 
Ich selber habe keine zusätzlichen IPTables eingestellt...
Was ich gerne wissen möchte, was auch diese MyVideo.de Einträge in der access_log bedeuten ?!?!? Ist das der Referrer?
Grüße,
DHMH

EDIT:
Das mit den "komischen Einträgen" hat sich geklärt.. wollte wohl jemand meinen Server als Proxy nutzen ^^
Aber warum geht mod_evasive nicht?
 
Last edited by a moderator:
mod_evasive füttert doch sinnvollerweise eine Firewall.

Ist diese konfiguriert und wenn ja wie sehen die Regeln aus? Mr_Brain hat das auch schon gefragt.
 
Solange du nicht auf Rückfragen antwortest wird dir hier keiner helfen.

Viel Erfolg.
 
Gibt es auch eine Möglichkeit, dass Modul wieder zu entfernen?
Hab das "LoadModule" auskommentiert und apache2 neugestartet.. hat nix gebracht :confused:
Danke im Voraus!
 
Gegenfrage (da es mehrere Möglichkeiten gibt):
Wie hast Du es denn rein konfiguriert.

PS: Beitrag in diesen Thread verschoben weil das eh schon Deiner ist.

huschi.
 
Back
Top