[linux-support] Angriffe via Apache Webserver
Oliver Fuhrer
oliver.fuhrer at bluewin.ch
Thu Apr 20 20:10:40 CEST 2006
Hallo Gaudenz,
> > Hallo milosh,
> >
> > > servus,
> > >
> > > Oliver Fuhrer schrieb:
> > >
> > > >web-r9-h75.globecorp.net - - [13/Mar/2006:23:17:04 +0100]
> > > "GET / HTTP/1.1"
> > > >200 947 "http://xyz.com" "Mozilla/4.0 (compatible; MSIE 6.0;
> > > Windows NT 5.1;
> > > >SV1)"
> > > >web-r8-h79.globecorp.net - - [14/Mar/2006:06:27:51 +0100]
> > > "GET / HTTP/1.1"
> > > >200 947 "http://xyz.com" "Mozilla/4.0 (compatible; MSIE 6.0;
> > > Windows NT 5.1;
> > > >SV1)"
> > > >
> > > >Kann mir da vielleicht jemand einen Tipp geben, wie ich
> > > solche Requests
> > > >unterbinden kann?
> > > >
> > > öhm den webserver abschalten? ich seh nicht genau was das
> problem ist
> > > mit diesen einträgen, die
> > > sehen aus wie normale zugriffs logs. ausser natuerlich du
> > > willst nicht
> > > dass jemand mit MSIE oder
> > > schlimmer noch N-graus-T auf deine seiten geht, durchaus
> > > verständlich ;)
> > > in diesem falle schalte
> > > dir entweder eine firewall vor den webserver und blocke
> die ip oder
> > > richte dir eine application
> > > level firewall ein die gleich alles blockt anhand der
> request headers
> > > (kenn grad keine freie).
> > >
> > > und dann gibts noch die möglichkeit das ganze auf dem apache
> > > zu blocken,
> > > browser mit
> > > bewusster kennung werden einfach irgendwohin umgeleitet.
> das unschöne
> > > dabei ist, du kriegst
> > > weiterhin die logs (evt. noch mehr) und die bösen packete
> schwirren
> > > trotzdem schon mal durch
> > > dein netz ;)
> > >
> >
> > Das Problem ist, dass http://xyz.com eine externe website
> ist und diese
> > Logeinträge vom 13.-31.3. so ca. im 2-3 Sekundentakt
> auftauchen.Sonst ists
> > eher 'ruhig' auf dem Webserver. Vielleicht hilft dir diese
> Grafik ;-)
> > http://users.warezmaster.ath.cx/~admin/usage.png
>
> Das http://xyz.com ist wohl der Referer (d.h. die Webseite, welche
> zuvor aufgerufen wurde). Im Normalfall ist es also ganz OK, wenn dort
> eine fremde Seite steht. Von irgendwoher müssen die Leute ja auf deine
> Seite kommen.
> Die Referer Information kommt vom Client, ihr ist also aus
> naheliegenden
> Gründen nicht zu trauen. Sie kann sehr einfach gefälscht sein. Das ist
> eigentlich auch kein Problem, da diese Info normalerweise nur für
> Statistik gebraucht wird.
>
> Bei deinem Beschrieb würde ich vermuten, dass hier fast alle Client
> Infos ein Fake sind. Da wohl kein Mensch alle 2-3 Sekunden die gleiche
> Seite aufruft. Das Log deutet aber auch nicht darauf hin, dass
> irgendetwas böses versucht wurde. Ich würde deshalb auf einen
> unsauberen
> Spider tippen, der sich irgendwie aufgehängt hat.
>
> Du kannst entweder alles so lassen und darauf vertrauen, dass
> der Client
> bald wieder verschwinden wird oder die IP des Clients blocken.
>
In diesem fall werde ich wohl vorläufig alles so belassen.
Vielen Dank für eure Hilfe.
Gruss,
Oliver
More information about the Linux-support
mailing list