mod_evasive verbietet zu viel...

[IckZ]

Hallo,
ich habe mal wieder ein Problem mit mod_evasive. Ich kann über meine Seiten nicht surfen, ohne bei der Tätigung eines "Zurück-Buttons" oder "Home-Buttons" ein "Forbidden" Fenster zu bekommen. Das paradoxe daran ist, dass ich zu Testzwecken alle Einträge aus der config (bis auf den DOSEmailNotify server@nightventure.de) rausgehaun habe und das Modul trotzdem noch spinnt. (Natürlich habe ich den apachen restartet und sogar mal den Server rebootet.)

Kann mir vielleicht jm. von euch sagen, an was das liegen kann?

Gruß

 

[Huschi]

Zu echten Testzwecken mußt Du jetzt auch einmal mod_evasive rausnehmen und es nochmal testen.
Kommt weiterhin Forbidden, dann liegt es eher an Deinen Scripten.

huschi.

 

[IckZ]

HI,
ich weiß, dass die Seiten ohne mod_evasive 1a liefen. Ich werde es aber dennoch noch mal ausprobieren. Einfach mal abwarten. Momentan bringt mich das Problem mit dem Mailserver nur um den Verstand und da ich noch kein produktiv-System am laufen hab ist das vorrangig .

Danke schon mal.

Gruß

 

[IckZ]

Hi,
also ich kann machen was ich will. mod_evasive verbietet einfach zu viel.
Ich nutze die Standardwerte aus der config von mod_evasive und ständig bekomme ich E-Mails in denen Leute geblockt werden und sogar ich komme nicht mehr in mein CMS Backend rein.

Ihr könnt auch gerne mal testen, indem ihr einfach auf partyshot.net wird zu nightventure.de geht und ein paar mal ganz schnell refresht. Mir ist aufgefallen, dass es bei mir schneller geht, als bei anderen. Kann es daran liegen, dass ich eine schnellere Internetverbindung habe, mit der der Browser schneller die Daten holen möchte?

FF macht Probleme (um es vorwegzunehmen: Ich nutze keinerlei Seitenaufbau-Optimierungs-Tools), IE6 macht alles normal. Das ist ganz eigenartig.

Gruß

 

[Gulaschkanone]

Hallo,

ich konnte mit dem Opera gerade ncihts feststellen. Hab mehrmals refresht, aber wurde nciht gespert.

 

[IckZ]

Hallo,
das ist es ja komischerweise.

Manche User werden geblockt, manche eben nicht, obwohl sie das gleiche tun.

Ich habe mal zu Testzwecken das gleiche CMS auf einem anderen Server, der auch mod_evasive am laufen hat, installiert und dort werde ich gar nicht geblockt, hingegen ich bei mir ins Backend nur mit dem IE komme aber nicht mit dem FF. Inzwischen wurden von Rund 50-100 Besuchern schon bestimmt 5 geblockt.

Kann es an der Internetverbindung liegen, dass ich durch die 16mbit zu viele Daten auf einmal und in einem zu kurzen Zeitraum anfordere? Oder wird mod_evasive in Verbindung mit einem anderen Tool aggressiver? Was könnte bei der Installation falsch gelaufen sein, wobei doch alles glatt gelaufen ist?

Ich habe es jetzt erstmal ausgestellt, da ich nicht noch mehr Leute verägern möchte und weiß, dass es sich momentan noch um keine Attacken handelt.

Vielleicht hat von euch noch einer eine Idee?

Gruß

PS: Falls es hierdurch noch nicht so klar geworden ist: Es kann durchaus sein, dass es Browserabhängig ist, da ich mit dem IE z.B. keine Probleme habe, hingegen der FF ständig Probleme verursacht.

 

[marneus]

Schau Dir mal im Detail diese Einstellungen an:

DOSPageCount
------------

This is the threshhold for the number of requests for the same page (or URI)
per page interval.  Once the threshhold for that interval has been exceeded,
the IP address of the client will be added to the blocking list.
 
DOSSiteCount
------------

This is the threshhold for the total number of requests for any object by
the same client on the same listener per site interval.  Once the threshhold 
for that interval has been exceeded, the IP address of the client will be added
to the blocking list.

DOSPageInterval
---------------

The interval for the page count threshhold; defaults to 1 second intervals.

DOSSiteInterval
---------------

The interval for the site count threshhold; defaults to 1 second intervals.

Ich hab mir das nicht genauer durchgelesen, da mir gerade die Zeit fehlt, aber vielleicht ist mit ein wenig Literatur zum Requestaufbau von Firefox was möglich.

 

[IckZ]

Hi,
ja das habe ich mir natürlich auch schon durchgelesen.
Ich habe die Werte auch schon angehoben und alles hat prima geklappt. Allerdings hat mod_evasive dann nichts mehr geblockt . Die perl-Testdatei hat nur noch "ok" angezeigt und erst dann hat es im FF bei mir funktioniert.

Hat vielleicht noch jm. anderes einen Rat?

Gruß

 

[marneus]

Ich glaube, das Erhöhen von DOSSiteCount in vorsichtigen Schritten, könnte Dir helfen.

 

[the_condor]

Guten Morgen,

also ich kann im moment diesen Fehler wo Du beschrieben hast auch nicht wieder spiegeln.
marneus hat Dir ja schon Lösungen gesagt


mfg
the_condor

 

[IckZ]

Hi,
diesen Post von mir habe ich mal gelöscht.

Die "Lösung" für das Problem findet ihr hier:

Forbidden?!

Hallo, tritt es bei euch auch des öfteren auf, dass ihr ein "Forbidden" im Explorer bekommt? Ich bin mir jetzt nicht sicher, ob es an der Verwarnung liegt, oder ob z.B. mod_evasive auch hier im Forum für mich zu stark greift. Das fällt mir schon etwas länger auf. Mal tritt es öfter mal weniger...

serversupportforum.de

Gruß