[linux-support] Angriffe via Apache Webserver

Gaudenz Steinlin gaudenz at soziologie.ch
Thu Apr 20 10:59:24 CEST 2006


On Wed, Apr 19, 2006 at 11:22:39PM +0200, Oliver Fuhrer wrote:
> Hallo milosh,
>  
> > servus,
> > 
> > Oliver Fuhrer schrieb:
> > 
> > >web-r9-h75.globecorp.net - - [13/Mar/2006:23:17:04 +0100] 
> > "GET / HTTP/1.1"
> > >200 947 "http://xyz.com" "Mozilla/4.0 (compatible; MSIE 6.0; 
> > Windows NT 5.1;
> > >SV1)"
> > >web-r8-h79.globecorp.net - - [14/Mar/2006:06:27:51 +0100] 
> > "GET / HTTP/1.1"
> > >200 947 "http://xyz.com" "Mozilla/4.0 (compatible; MSIE 6.0; 
> > Windows NT 5.1;
> > >SV1)"
> > >
> > >Kann mir da vielleicht jemand einen Tipp geben, wie ich 
> > solche Requests
> > >unterbinden kann?
> > >
> > öhm den webserver abschalten? ich seh nicht genau was das problem ist 
> > mit diesen einträgen, die
> > sehen aus wie normale zugriffs logs. ausser natuerlich du 
> > willst nicht 
> > dass jemand mit MSIE oder
> > schlimmer noch N-graus-T auf deine seiten geht, durchaus 
> > verständlich ;) 
> > in diesem falle schalte
> > dir entweder eine firewall vor den webserver und blocke die ip oder 
> > richte dir eine application
> > level firewall ein die gleich alles blockt anhand der request headers 
> > (kenn grad keine freie).
> > 
> > und dann gibts noch die möglichkeit das ganze auf dem apache 
> > zu blocken, 
> > browser mit
> > bewusster kennung werden einfach irgendwohin umgeleitet. das unschöne 
> > dabei ist, du kriegst
> > weiterhin die logs (evt. noch mehr) und die bösen packete schwirren 
> > trotzdem schon mal durch
> > dein netz ;)
> >
> 
> Das Problem ist, dass http://xyz.com eine externe website ist und diese
> Logeinträge vom 13.-31.3. so ca. im 2-3 Sekundentakt auftauchen.Sonst ists
> eher 'ruhig' auf dem Webserver. Vielleicht hilft dir diese Grafik ;-)
> http://users.warezmaster.ath.cx/~admin/usage.png

Das http://xyz.com ist wohl der Referer (d.h. die Webseite, welche
zuvor aufgerufen wurde). Im Normalfall ist es also ganz OK, wenn dort
eine fremde Seite steht. Von irgendwoher müssen die Leute ja auf deine
Seite kommen. 
Die Referer Information kommt vom Client, ihr ist also aus naheliegenden
Gründen nicht zu trauen. Sie kann sehr einfach gefälscht sein. Das ist
eigentlich auch kein Problem, da diese Info normalerweise nur für
Statistik gebraucht wird.

Bei deinem Beschrieb würde ich vermuten, dass hier fast alle Client
Infos ein Fake sind. Da wohl kein Mensch alle 2-3 Sekunden die gleiche
Seite aufruft. Das Log deutet aber auch nicht darauf hin, dass
irgendetwas böses versucht wurde. Ich würde deshalb auf einen unsauberen
Spider tippen, der sich irgendwie aufgehängt hat.

Du kannst entweder alles so lassen und darauf vertrauen, dass der Client
bald wieder verschwinden wird oder die IP des Clients blocken. 

Gruss Gaudenz

-- 
Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better.
~ Samuel Beckett ~


More information about the Linux-support mailing list