Server wird häufig 'attackiert'

**wahsaga** · 22.02.2006, 09:11

Re: Server wird häufig 'attackiert'

Ich würde zuerst mal in die Logs schauen, ob es irgendwas im Request gibt, was den Kerl eindeutig identifizierbar macht - schickt er immer einen ganz bestimmten Referrer, einen ganz bestimmten User Agent String, etc.

Wenn ja - per mod_rewrite oder ALLOW/DENY mit SET_ENV_IF solche Anfragen mit einem 403 Forbidden abwürgen.

**Quetschi** · 22.02.2006, 09:29

Ich hab bisher einfach immer die IP mit allow/deny ausgeschlossen - wird natürlich nervig, wenn der immer mal wieder ne neue hat - zudem vergeht ja auch immer erst ein Weilchen bis ich das überhaupt auch merk, dass da schon wieder was im Gange ist.

Es gibt aber tatsächlich nen einheitlichen Referrer - muss mal schauen wie das mit allow/deny und set_env_if funktioniert, hab von diesen httpd.conf-Sachen bestenfalls nur Grundkenntnisse.

**onemorenerd** · 22.02.2006, 09:39

Ich hatte so einen Psycho auch schon, leider ohne UA, Referer oder sonstwas eindeutigem. Hab mod_status aktiviert, per Cron jede Minute die Requests/Second aus /server-status geparst, geloggt die letzten 30 Minuten aus dem Log analysiert und wenn es einen signifikanten Anstieg gab - und es laut Webserverlogs kein SuMaBot war - dann wurde die IP aus den Logs gesucht, die seit dem Anstieg die meisten Anfragen gestellt hat und geblockt. Hat zwar einige Wochen gedauert, bis ich das richtige Feintuning raus hatte, aber seitdem ist Ruhe.

Ach ja, die geblockten IPs wurden nach bestimmter Zeit wieder freigegeben.

**Quetschi** · 22.02.2006, 09:46

hmm, ich hab bis jetzt ja immer den Referrer - von daher wäre das für mich die einfachere und effektivere Methode dem Hirni vorerst mal aussen vor zulassen.

**wahsaga** · 22.02.2006, 10:29

Original geschrieben von Quetschi
muss mal schauen wie das mit allow/deny und set_env_if funktioniert, hab von diesen httpd.conf-Sachen bestenfalls nur Grundkenntnisse.

Ist eigentlich ganz simpel - ich habe das bei meinem Blog für alle Anfragen gemacht, die "************" oder "ficken" im Domainnamen des Referrers enthalten, weil mir die Referrer-Spammer mit ihren zahlreichen Anfragen auf den Geist gingen.

Code:

SetEnvIf Referer ^http://[^/]*************[^/]*\..*$ to_much_************
SetEnvIf Referer ^http://[^/]*ficken[^/]*\..*$ to_much_************
SetEnvIf Request_URI ^/error.php$ ausnahme
Order Deny,Allow
Deny from env=to_much_************
Allow from env=ausnahme

Das Prinzip ist simpel:

Hinter dem SetEnvIf gibst du an, auf welche "Variable" du dich beziehen möchtest (Hier Referer und Request_URI),
danach folgt ein regulärer Ausdruck mit der Bedingung.
Wenn diese erfüllt ist, dann wird unter dem zuletzt angegebenen Namen eine Art "Flag" gesetzt, auf das du dich dann bei ALLOW/DENY beziehen kannst.

Die Definition der "ausnahme" habe ich nur gemacht, weil beim Auslösen des 403 Forbidden dann ja intern ein Request auf das ErrorDocument ausgelöst wird. Da der Referrer dabei aber gleich bleibt, ist der ebenfalls verboten.
Das hätte aber nur geringe Konsequenzen: Der Apache würde seine Defaultmeldung für 403 Forbidden anzeigen, und darunter die Meldung, dass beim Versuch das definierte ErrorDocument anzuzeigen ebenfalls wieder ein Forbidden auftrat.
Auf diese Ausnahmebehandlung kann also auch gerne verzichtet werden.

**Quetschi** · 22.02.2006, 10:46

jo super, danke

- so ähnlich hatt ich das auch grad hier gefunden:
http://buecher.lingoworld.de/apache2...?id=535&o=date

Fast ganz unten vor: EMPFHOHLENE GRUNDKONFIGURATION

**Quetschi** · 22.02.2006, 13:08

So, eben mal die httpd.conf angepasst und mit FireFox die Request-Header mal zum Testen entsprechend gefaked - klappt wunderbar. thx

**MaxP0W3R** · 22.02.2006, 18:55

Wo kann man im Firefox die Header ändern ?

**Hopka** · 22.02.2006, 22:08

Der Referer-Header lässt sich z.B. über die Extension RefControl manipulieren.

Vielleicht gibt es auch noch andere Extensions für andere Header oder sogar für alle

**asp2php** · 22.02.2006, 22:15

Original geschrieben von MaxP0W3R
Wo kann man im Firefox die Header ändern ?

ach so 'n riesenfan von dem sch**ß-FF und hat keine ahnung?

EDIT:
na Hund, deine Übersetzung stimmt jetzt nicht mehr

**derHund** · 22.02.2006, 22:54

OffTopic:
... vom schönen FF, wir wissen doch alle, daß du mit der IE-Möhre unterwegs bist.

UA kannst du auch beliebig bestimmen, wenn nicht von hause aus dann per extension (user agent switcher). accept-lang kannst du in den options einstellen, IIRC.

welche weiteren header willst denn manipulieren? viel ist ja nicht mehr.

**Quetschi** · 23.02.2006, 08:08

Ich habs in meinem Fall erstmal in der httpd.conf den UserAgent abgefangen mit FF und UA-Switcher getestet und anschließend mit PHP-fsockopen von nem anderen Server aus mit dem Referrer getestet.

**MaxP0W3R** · 23.02.2006, 10:54

Original geschrieben von asp2php
ach so 'n riesenfan von dem sch**ß-FF und hat keine ahnung?
EDIT:
na Hund, deine Übersetzung stimmt jetzt nicht mehr

Hm, ein sehr merkwürdiger Post.

Ich wusste gar nicht, dass ich mit dem FF nicht zufrieden sein darf, wenn ich nicht weiss, wie man bestimmte Dinge einstellt oder konfiguriert.

Allerdings weiss ich dass bei anderen Browsern auch nicht.

Bin ich jetzt disqualifiziert jeglichen Browser zu benutzen ?

**Quetschi** · 23.02.2006, 11:02

Original geschrieben von MaxP0W3R
Bin ich jetzt disqualifiziert ...

Jo, wegen Dopings - übernachte in deinem Wagen, lass den Motor laufen und wenn die Polizei an die Scheibe klopft, dann ergreife die Flucht und bau nen Unfall!

Server wird häufig 'attackiert'