vServer - Webserver andauernd down

[JensP]

Hallo,

seit gestern nachmittag tauchen in meinem Log diverse seltsame Meldungen auf. Hat jemand ne Idee wie ich das unterbinde? Ich denke durch die Versuche was über mein mod_poxy zu machen, gibt der Apache letztendlich auf und muss von Watchdog neugesetartet werden.

[Thu Nov 10 10:38:52 2011] [error] (110)Connection timed out: proxy: HTTP: attempt to connect to 64.233.163.104:80 (*) failed
[Thu Nov 10 10:38:55 2011] [error] [client 14.112.69.119] (70014)End of file found: proxy: error reading status line from remote server clickicexmlfeed.com
[Thu Nov 10 10:38:55 2011] [error] [client 14.112.69.119] proxy: Error reading from remote server returned by http://clickicexmlfeed.com/xml/xml.php?aff=1065&ip=85%2E214%2E60%2E76&q=bad+credit+refinancing&ref=[CS::LOCATION]&useragent=Mozilla/5.0%20(Windows;%20U;%20Windows%20NT%205.2)%20AppleWebKit/525.13%20(KHTML,%20like%20Gecko)%20Chrome/0.2.149.27%20Safari/525.13&lang=en-us
[Thu Nov 10 10:38:58 2011] [error] [client 14.112.69.119] (70014)End of file found: proxy: error reading status line from remote server clickicexmlfeed.com
[Thu Nov 10 10:38:58 2011] [error] [client 14.112.69.119] proxy: Error reading from remote server returned by http://clickicexmlfeed.com/xml/xml.php?aff=1065&ip=85%2E214%2E60%2E76&q=Filing+Tax&ref=[CS::LOCATION]&useragent=Mozilla/5.0%20(Windows;%20U;%20Windows%20NT%205.2)%20AppleWebKit/525.13%20(KHTML,%20like%20Gecko)%20Chrome/0.2.149.27%20Safari/525.13&lang=en-us
[Thu Nov 10 10:39:03 2011] [error] [client 60.173.9.82] (70014)End of file found: proxy: error reading status line from remote server clickicexmlfeed.com
[Thu Nov 10 10:39:03 2011] [error] [client 60.173.9.82] proxy: Error reading from remote server returned by http://clickicexmlfeed.com/xml/xml.php?aff=1435&saff=1&ip=85%2E214%2E60%2E76&q=governance+of+profit+organizations&ref=[CS::LOCATION]&useragent=Mozilla/5.0%20(compatible;%20MSIE%209.0;%20Windows%20NT%206.1;%20Win64;%20x64;%20Trident/5.0&lang=en-us
[Thu Nov 10 10:39:06 2011] [error] [client 60.173.10.219] (70014)End of file found: proxy: error reading status line from remote server clickicexmlfeed.com
[Thu Nov 10 10:39:06 2011] [error] [client 60.173.10.219] proxy: Error reading from remote server returned by http://clickicexmlfeed.com/xml/xml.php?aff=1008&xmlpass=3bcef007b638d6190ca8fdb381377b40&ip=85%2E214%2E60%2E76&q=sexy+sms+hindi&ref=[CS::LOCATION]&useragent=Mozilla/5.0%20(compatible;%20Konqueror/3.5;%20Linux)%20KHTML/3.5.5%20(like%20Gecko)%20(Debian)&lang=en-us&timeout=30
[Thu Nov 10 10:39:07 2011] [error] [client 199.119.204.121] (104)Connection reset by peer: proxy: error reading status line from remote server ad.scanmedios.com, referer: http://www.financialstreetcore.com/index.php?option=com_content&view=category&layout=blog&id=42&Itemid=98&limitstart=370
[Thu Nov 10 10:39:07 2011] [error] [client 199.119.204.121] proxy: Error reading from remote server returned by http://ad.scanmedios.com/iframe3?AAAAAE94JwCyObUAAAAAABPtKwAAAAAAAgAQAAoAAAAAAP8AAAAFC0wuOAAAAAAAh8clAAAAAACivzkAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAKpxMAAAAAAAIAAwAAAAAAAAAAAAAAAAA0M7PnSU13PwAAAAAAAAAAAQDA6xJrgz8AAAAAAAAAAAEAAFfO340.AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACs27ZIN4AEC-Sm9dVBCZgMRoolxBuqatj1LLemAAAAAA==,,http%3A%2F%2Fwww.financialstreetcore.com%2Findex.php%3Foption%3Dcom_content%26view%3Dcategory%26layout%3Dblog%26id%3D42%26itemid%3D98%26limitstart%3D370,B%3D12%26Z%3D160x600%26_salt%3D3449152758%26m%3D2%26r%3D1%26s%3D2586703,d3a0c7e2-0b7f-11e1-8b84-5fe1eb42ab4a,1320917943710, referer: http://www.financialstreetcore.com/index.php?option=com_content&view=category&layout=blog&id=42&Itemid=98&limitstart=370
[Thu Nov 10 10:39:09 2011] [error] [client 14.112.69.119] (70014)End of file found: proxy: error reading status line from remote server clickicexmlfeed.com
[Thu Nov 10 10:39:09 2011] [error] [client 14.112.69.119] proxy: Error reading from remote server returned by http://clickicexmlfeed.com/xml/xml.php?aff=1065&ip=85%2E214%2E60%2E76&q=car+mp3+player&ref=[CS::LOCATION]&useragent=Mozilla/5.0%20(Windows;%20U;%20Windows%20NT%205.2)%20AppleWebKit/525.13%20(KHTML,%20like%20Gecko)%20Chrome/0.2.149.27%20Safari/525.13&lang=en-us
[Thu Nov 10 10:39:10 2011] [error] [client 209.84.12.119] SSL Proxy requested for primitive-visions.de:80 but not enabled [Hint: SSLProxyEngine]
[Thu Nov 10 10:39:10 2011] [error] proxy: HTTPS: failed to enable ssl support for 209.84.12.119:443 (secure.hp-ww.com)

 

[d4f]

Auf den ersten Blick sieht es eher so aus als ob dein Server erfolgreich als anonymer Proxy missbraucht wird und paar Zugriffe nicht funktioniren. (Die access-log fehlt um das zu bestaetigen)
Das wuerde erklaeren warum dein Server dauernd "haengt"; er lieftert geproxy'te Webseiten aus so schnell und viel er kann - das belastet ihn halt stark...

=> DIREKT analysieren und abschalten!
(Falls es stimmt kannst du respektiv dein Hoster uebrigens in den naechsten Tagen Post von Firmen sowie dem BKA erhalten - je nachdem was darueber lief)

 

[GwenDragon]

Ich tippe auf einen Angriff aufgrund folgernder Lücken:
http://httpd.apache.org/security/vulnerabilities_22.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3368
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3348

 

[JensP]

Der hier ist schon sehr verdächtiug... http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3368

 

[GwenDragon]

Wenn du mod_proxy nicht nutzt, würde ich das Modul deaktivieren.

 

[virtual2]

Ich empfehle dir schnellstmöglich zu handeln und mod_proxy zu entfernen, solltest du es nicht nutzen.

Anscheinend wird dein vServer als open proxy missbraucht, dass kann dir sehr teuer kommen, sollte über die Büchse böses getrieben werden...

 

[Joe User]

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3368

Würde nur die Hosts innerhalb der DMZ des OP betreffen, es werden aber Hosts ausserhalb seiner (nicht existierenden) DMZ abgerufen.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3348

Ich kann im Log des OP keinen Hinweis auf mod_proxy_ajp entdecken, zumal es ohnehin nur zum DoS des OP führen würde und nicht zum Abruf externer Webseiten.


@JensP
Zeige bitte Deine vollständige mod_proxy Konfiguration.

 

[JensP]

Also ich habe mal mod_proxy direktiven daktiviert (ProxyPass etc auf off gestellt etc.)

Leider ist der Server nun komplett unter Attack. Ich komme grad so per SSH rein und dann ist auch schon bald wieder alles, wahrscheinlich dank DoS lahmgelegt. Noch nicht mal die Shell hält ein paar Minuten.

HD platz ist ok den konnte ich cheken, aber auch Plesk und sonstige Serverdienste sind nun mittlerweile andauern down?

Hat jemand ne Idee?

 

[Joe User]

Es muss sich erstmal rumsprechen, dass Dein Proxy nach der Deaktivierung nun nicht mehr misbraucht werden kann. Das dauert ein paar Tage (mit etwas Pech auch ein paar Wochen) und solange musst Du die "Attacke" leider aussitzen.

 

[JensP]

Ohh nee dann hoff ich mal das es zügig geht... :-(

 

[s24!]

Eventuell tut es auch ein komplettes Runterfahren für einige Zeit um zu simulieren, dass der Server weg vom Fenster ist.

 

[d4f]

Oder einfach mittels Reverse-Proxy und/oder Apache-Modul die entsprechenden Anfragen verweigern?

 

[Joe User]

Oder einfach mittels Reverse-Proxy und/oder Apache-Modul die entsprechenden Anfragen verweigern?

Das macht der Apache doch ohnehin wenn mod_proxy (welches JensP offensichtlich gar nicht benötigt) deaktiviert ist. Daher ist ja auch kurzfristig die Last etwas höher, als "normal" oder mit fehlkonfiguriertem mod_proxy.

 

[JensP]

So kurzer Zwischenstand, deaktiviere ich den Indianer, dann läuft alles wunderbar.

Ich kann auf den Reverseproxy verzichten, war ohnehin nur ne Zwischenlösung um eine Subdomain unter ein gültiges Zertifikat zu hängen. Jetzt habe ich den Inhalt erstmal versymlinkt in ein Unterverzeichnis der Hautpdomain.

Dabei habe ich auch endlich mal vom mod_php zu fcgi geswitched und PHP 5.3 eingesetzt. Was super läuft, einige Zeit... schalte ich den Apache wieder an sind aber ruck zuck wieder massig Anfragen da und legen den Server lahm.

 

[Joe User]

Damit wirst Du wohl oder übel eine Zeitlang leben müssen, denn das Auswerfen der Errorpages ist für HTTPDs aufwendiger, als Open-Proxy zu spielen.

Alternativ bleibt nur auf einem anderen Server mit frischen Domains komplett neu anzufangen, was aber in den allermeisten Fällen keine Option darstellt.

 

[Deleted member 10028]

Wenn eine Domain von mir Ziel einer (D)DoS-Attacke wird, ändere ich die IP von dieser auf 127.0.0.1. Die Angriffe sind dann meistens sehr schnell vorbei.

Eventuell merken das dann ja auch die Bots und suchen sich neue Opfer.

 

[JensP]

Ich geh mal über den Provider, evtl hat der Möglichkeiten. Vielleicht kann er mir ne neue IP geben? Evtl würde das helfen.

 

[Deleted member 10028]

Da ich gerade vom Smartphone aus schreibe, kann ich mir die Logs nicht anschauen.

Wenn die Angriffe über die Domains erfolgen, bringt dir ein Wechsel der IP-Adresse deines Servers nicht allzu viel.
Sollten die Angriffe über die IP erfolgen, so könnte der Wechsel eine Notlösung sein, wobei ich, sofern es die von deinem vServer-Anbieter eingesetzte Virtualisierung erlaubt, die angreifenden IPs per IPtables droppen würde.

 

[JensP]

So langsam scheinen die Zugriffe nachzulassen, evtl hilt hier aber auch die Umstellung auf FCGI. Leider kommen die Zugriffe von diversen IPs, so dass ein Blocken nichts bringt. Auch mod_evasive hilft ja dann nicht viel.

61.160.223.134 - - [13/Nov/2011:11:24:09 +0100] "GET http://popunder.popcde.com/pp/ad.js?p=113749&cb=614270144 HTTP/1.1" 200 4109 "http://musictvnews.net/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.1)"
61.160.221.202 - - [13/Nov/2011:11:24:28 +0100] "GET http://ad.globe7.com/st?ad_type=iframe&ad_size=728x90&section=1658186 HTTP/1.0" 200 4097 "http://www.moviemusicstar.com" "Mozilla/4.0 (compatible; MSIE 5.5; AOL 6.0; Windows 98; Win 9x 4.90)"
61.160.221.234 - - [13/Nov/2011:11:24:47 +0100] "GET http://popunder.popcde.com/pp/ad.js?p=113879&cb=2923116317 HTTP/1.0" 200 4109 "http://www.thirdgames.com" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt; Alexa Toolbar)"
221.215.112.238 - - [13/Nov/2011:11:24:39 +0100] "GET http://servedby.adxserve.com/css/img/facebook.png HTTP/1.0" 200 4133 "http://servedby.adxserve.com/servlet/ajrotator/275759/0/vh?z=adx&dim=232627&kw=uk" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 1.1.4322; .NET CLR 3.5.30729; .NET CLR 3.0.30729)"
74.91.26.170 - - [13/Nov/2011:11:24:09 +0100] "GET http://ad.media-servers.net/st?ad_type=iframe&ad_size=300x250&section=1981099 HTTP/1.0" 200 4097 "http://www.killsometime.com/videos/2758" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
76.10.222.170 - - [13/Nov/2011:11:24:58 +0100] "GET http://ad.adtegrity.net/css/img/youtube.gif HTTP/1.0" 200 4131 "http://ad.adtegrity.net/st?ad_type=iframe&ad_size=160x600&section=1474503" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; (R1 1.6); .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; InfoPath.1)"
61.160.221.202 - - [13/Nov/2011:11:24:36 +0100] "GET http://ad.globe7.com/css/img/facebook.png HTTP/1.0" 200 4133 "http://ad.globe7.com/st?ad_type=iframe&ad_size=728x90&section=1658186" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
61.160.223.111 - - [13/Nov/2011:11:24:27 +0100] "GET http://popunder.popcde.com/pp/ad.js?p=113847&cb=209157474 HTTP/1.0" 200 4109 "http://www.generalamuse.com" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/125.2 (KHTML, like Gecko) Safari/125.8"
61.147.99.189 - - [13/Nov/2011:11:24:38 +0100] "GET http://popunder.popcde.com/pp/ad.js?p=114264&cb=420623776 HTTP/1.1" 200 4109 "http://financialup.com/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; MRSPUTNIK 2, 1, 0, 4 SW; MRA 5.5 (build 02842); .NET CLR 1.1.4322)"
61.147.99.153 - - [13/Nov/2011:11:24:58 +0100] "GET http://popunder.popcde.com/pp/ad.js?p=114227&cb=618409280 HTTP/1.1" 200 4109 "http://gbhealth.co.uk/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"

Aktuell habe ich die neuste Apache Version als Worker MPM installiert. Prefork will bei mir aktuell leider nicht kompilieren: https://serversupportforum.de/threads/error-beim-kompilieren-von-apache-unter-opensuse.45728/, wobei ich auch nicht sicher bin ob der Worker ohnehin die bessere Alternative ist.

Beim Worker hab ich nur das Problem das der via /etc/init.d/apache2 stop die Prozesse nicht tötet. Ich muss wenn die Last abnehmen soll alle httpd2-prefork und php-cgi Prozesse manuell killen.

Ich überlege noch den Einsatz von mod_defensible. Was meint ihr?

 

[Joe User]

Dein Apache schmeisst ja schon wieder 200er - mod_proxy wieder aktiviert?