stände "403 Forbidden" beim Surfen im SSF

[Costly]

Nabend zusammen,

vor einiger Zeit stieß ich auf das SSF und fand die hier besprochenen Themen sehr interessant und informativ, jedoch finde ich eine Sache sehr ungewöhnlich:

Beim Surfen im SSF bekomme ich ständig (!!) "403 Forbidden" Fehler. Das war bereits so, als ich noch garnicht registriert war, aber das Problem bestand weiterhin, auch nachdem ich mich registriert habe.

Den Fehler bekomme ich bei _allen möglichen_ Threads und Seiten...

Forbidden

You don't have permission to access /forum/ on this server.

Natürlich dann mit dem entsprechenden anderen Pfad. (bspw: search.php)

Wirklich überall, ... zuerst vermutete ich eine Art Throttling, weil es häufig auftrat, nachdem ich schnell die Seiten durchgeblättert habe in einem Thread, oder mehrere Threads gleichzeitig in mehreren Tabs aufgerufen habe. Bei 10 neu geöffneten Tabs sind dann mind. 50% Error 403.
Auffällig war dann, dass bei längeren Pausen zwischen den Reloads der Fehler sehr sehr viel seltener auftrat.

Jetzt die Frage: Ist dies so gewollt, oder ein Bug?

mfg Costly

 

[TamCore]

Könnte an mod_security oder mod_evasive liegen.

 

[djrick]

Hast du einen genauen Link?

 

[Costly]

Hast du einen genauen Link?

Es tritt bei allen links auf, ... Neuen Post erstellen, Neuen Treadt erstellen, Suchfunktion, Threads aufrufen ... wirklich überall.

 

[djrick]

Es tritt bei allen links auf, ... Neuen Post erstellen, Neuen Treadt erstellen, Suchfunktion, Threads aufrufen ... wirklich überall.

Anscheinend nicht, wie kannst du denn sonst posten?

Hast du mal die IP gewechselt?

 

[Costly]

korrigiere: Es tritt sporadisch bei _allen_ Links auf, wie im ersten Post schon beschrieben.
IP habe ich nicht gewechselt und kann ich auch nicht wechseln. ISP ist Unitymedia und da hab ich schon seit mehreren Monaten diesselbe IP.

mfg Costly

 

[djrick]

Dann solltest du dich samt deiner IP mal vertrauensvoll an Thorsten wenden, der ist hier der Admin und wird dir sicher nach einem Blick in die Serverlogs weiterhelfen können.

 

[Costly]

Alles klar, danke dir für den Tipp! Werde gleich mal ne PM schreiben.

mfg Costly

 

[Thorsten]

Hallo!
Ich weis nicht, warum die bei dir permanent auftritt, es liegt aber an modevasive:

[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/ranks/u3.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/misc/im_icq.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/buttons/viewpost.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/buttons/multiquote_off.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/misc/blog/blogpost.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/digg.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/mister-wong.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/buttons/quote.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/buttons/multiquote_off.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/misc/blog/blogpost.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/delicious.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/technorati.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/furl.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/buttons/report.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/smilies/confused.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/digg.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/delicious.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/technorati.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/statusicon/post_old.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:52 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/statusicon/user_offline.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:53 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/ranks/u3.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:53 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/forum/images/vbseo/furl.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html
[Wed Apr 22 23:37:53 2009] [error] [client 12.12.12.12] client denied by server configuration: /mnt/san1/vhosts/serversupportforum.de/httpdocs/designs/ssf/misc/blog/blogpost.gif, referer: http://serversupportforum.de/forum/smalltalk/31986-diskussion-vanager-virtual-linux-server-1-jahr-kostenlos.html

Irgendwelche speziellen Browsereinstellungen deinerseits?

PS: Original IP auf 12.12.12.12 geändert.

mfG
Thorsten

 

[Costly]

Spezielle Browsereinstellungen habe ich eigentlich nicht. Mozilla Firefox in aktuellster Version, Adblock & NoScript installiert, jedoch beides im SSF ausgeschaltet. Darin hatte ich auch schon des Rätsels Lösung vermutet.

Falls du schon irgendwelche Anpassungen getätigt hast, ... jetzt gerade in diesem Moment konnte ich den Fehler _nicht_ nachstellen. Habe mich mal 2 mins wild durchs Forum geklickt und keinerlei Meldungen erhalten.
Sollte es nochmal auftreten, werde ich das dann umgehend hier melden, vielleicht es ja gerade nur mal wieder der allseits bekannte Vorführeffekt

mfg Costly

 

[HornOx]

Déjà vu? Schnelle Internetverbindung, viele gleichzeitige Verbindungen und ausgeschalteter Browsercache?
https://serversupportforum.de/threads/forbidden.17525/

 

[Thorsten]

Hallo!
Klar, das Thema ist an sich nicht neu. Allerdings weis ich so aus dem Stegreif nicht, wie ich eine korrekte Berechnungsgrundlage für den

DOSSiteCount 
------------ 
 
This is the threshhold for the total number of requests for any object by 
the same client on the same listener per site interval. Once the threshhold 
for that interval has been exceeded, the IP address of the client will be added 
to the blocking list.

Parameter ermitteln kann.
Momentan ist DOSPageCount auf 200 und der Intervall auf eine Sekunde eingestellt.

mfG
Thorsten

 

[HornOx]

Mit browser.cache.memory.enable=false werden in diesem Thread bei einem Seitenaufruf momentan laut FireBug 208 Dateien geladen(zum größten Teil gifs), das könnte also wirklich eng werden. Es sei den man sieht den deaktivierten Cache als Konfigurationsfehler des Browsers an (@Costly: Das kannst du auf about:config ändern.) und erklärt es zum "Problem anderer Leute".

Wird das Forum den momentan angegriffen? Was spricht gegen 1000 Abrufe pro 5 Sekunden oder unterschiedlichen DOSSiteCount Einstellungen für statische Dateien(gif,css,js,...) und dynamisch generierten Seiten?

 

[Thorsten]

Hallo HornOx!

Was spricht gegen 1000 Abrufe pro 5 Sekunden oder unterschiedlichen DOSSiteCount Einstellungen für statische Dateien(gif,css,js,...) und dynamisch generierten Seiten?

Meine Unwissenheit im Bezug auf die Möglichkeiten, die mod_evasive offenbar bietet. Im Klartext: Gibt es dies (unterschiedliche Einstellungen) irgendwo nachzulesen?

mfG
Thorsten

 

[HornOx]

Fehler meinerseits , ich habe gedacht das die IMHO sinnvolle Möglichkeit auch wirklich umgesetzt wäre aber DOSSiteCount kann man nur global für den gesamten Server festlegen.

snprintf(hash_key, 2048, "%s_%s", r->connection->remote_ip, r->uri);

Das ist die einzige Stelle an der die URI vorkommt, da könnte man fast schwach werden

 

[Costly]

Also der Cache ist (und bleibt) auf jeden Fall ausgeschaltet.
Aber ich würde einen ausgeschalteten Browsercache nicht unbedingt als Fehlkonfiguration bezeichnen *g*
Ich denke es würde genügen, wenn du den Intervall leicht erhöhst, auf 2 oder 3 Sekunden.

mfg Costly

 

[Thorsten]

Hallo!
Da sich die Zugriffe zu gleichen Teilen auf zwei Webserver verteilen, habe ich den Parameter DOSSiteCount jetzt auf 500 erhöht. Normalerweise sollte es mit dieser Einstellung keinerlei Probleme mehr geben.

mfG
Thorsten

 

[djrick]

Zum Glück hat Thorsten das nicht gleich mit iptables kombiniert.
Wer bei mir durch mod_evasive "entdeckt" wird, wird gleich mal schön ausgesperrt

 

[Costly]

Wunderbar, danke nochmal an alle Beteiligten für die freundliche und schnelle Behebung des Problems. Falls es noch zu Problemen kommen sollte, was ich aber eher nicht glaube, werde ich das wieder in diesem Thread melden.

mfg Costly

 

[HornOx]

Aber ich würde einen ausgeschalteten Browsercache nicht unbedingt als Fehlkonfiguration bezeichnen *g*

Wenn du mehrmals in der gleichen Sekunde die Datei digg.gif abrufst (siehe Log Auszug) nur weil das Bild mehrmal in einer Seite eingebettet ist ist das hart an der Grenze zur Fehlkonfiguration. Es geht hier nicht um den Festplattencache sondern um den Memorycache den man in FireFox nur per about:config und nicht über die offizelle Konfigurationsoberfläche ausschalten kann.

Da sich die Zugriffe zu gleichen Teilen auf zwei Webserver verteilen, habe ich den Parameter DOSSiteCount jetzt auf 500 erhöht. Normalerweise sollte es mit dieser Einstellung keinerlei Probleme mehr geben.

Dann solltest du aber auch DOSPageCount erhöhen.

Zum Glück hat Thorsten das nicht gleich mit iptables kombiniert.
Wer bei mir durch mod_evasive "entdeckt" wird, wird gleich mal schön ausgesperrt

Da gibt es bestimmt einige Seiten die mit ähnlicher Konfiguration und einer Kombination aus mehreren AJAX Requests und dem DOSPageCount Standartwert von 2 Requests pro Sekunde laufend Besucher aussperren