[linux-support] Angriffe via Apache Webserver

Oliver Fuhrer oliver.fuhrer at bluewin.ch
Thu Apr 20 20:10:40 CEST 2006


Hallo Gaudenz,
> > Hallo milosh,
> >  
> > > servus,
> > > 
> > > Oliver Fuhrer schrieb:
> > > 
> > > >web-r9-h75.globecorp.net - - [13/Mar/2006:23:17:04 +0100] 
> > > "GET / HTTP/1.1"
> > > >200 947 "http://xyz.com" "Mozilla/4.0 (compatible; MSIE 6.0; 
> > > Windows NT 5.1;
> > > >SV1)"
> > > >web-r8-h79.globecorp.net - - [14/Mar/2006:06:27:51 +0100] 
> > > "GET / HTTP/1.1"
> > > >200 947 "http://xyz.com" "Mozilla/4.0 (compatible; MSIE 6.0; 
> > > Windows NT 5.1;
> > > >SV1)"
> > > >
> > > >Kann mir da vielleicht jemand einen Tipp geben, wie ich 
> > > solche Requests
> > > >unterbinden kann?
> > > >
> > > öhm den webserver abschalten? ich seh nicht genau was das 
> problem ist 
> > > mit diesen einträgen, die
> > > sehen aus wie normale zugriffs logs. ausser natuerlich du 
> > > willst nicht 
> > > dass jemand mit MSIE oder
> > > schlimmer noch N-graus-T auf deine seiten geht, durchaus 
> > > verständlich ;) 
> > > in diesem falle schalte
> > > dir entweder eine firewall vor den webserver und blocke 
> die ip oder 
> > > richte dir eine application
> > > level firewall ein die gleich alles blockt anhand der 
> request headers 
> > > (kenn grad keine freie).
> > > 
> > > und dann gibts noch die möglichkeit das ganze auf dem apache 
> > > zu blocken, 
> > > browser mit
> > > bewusster kennung werden einfach irgendwohin umgeleitet. 
> das unschöne 
> > > dabei ist, du kriegst
> > > weiterhin die logs (evt. noch mehr) und die bösen packete 
> schwirren 
> > > trotzdem schon mal durch
> > > dein netz ;)
> > >
> > 
> > Das Problem ist, dass http://xyz.com eine externe website 
> ist und diese
> > Logeinträge vom 13.-31.3. so ca. im 2-3 Sekundentakt 
> auftauchen.Sonst ists
> > eher 'ruhig' auf dem Webserver. Vielleicht hilft dir diese 
> Grafik ;-)
> > http://users.warezmaster.ath.cx/~admin/usage.png
> 
> Das http://xyz.com ist wohl der Referer (d.h. die Webseite, welche
> zuvor aufgerufen wurde). Im Normalfall ist es also ganz OK, wenn dort
> eine fremde Seite steht. Von irgendwoher müssen die Leute ja auf deine
> Seite kommen. 
> Die Referer Information kommt vom Client, ihr ist also aus 
> naheliegenden
> Gründen nicht zu trauen. Sie kann sehr einfach gefälscht sein. Das ist
> eigentlich auch kein Problem, da diese Info normalerweise nur für
> Statistik gebraucht wird.
> 
> Bei deinem Beschrieb würde ich vermuten, dass hier fast alle Client
> Infos ein Fake sind. Da wohl kein Mensch alle 2-3 Sekunden die gleiche
> Seite aufruft. Das Log deutet aber auch nicht darauf hin, dass
> irgendetwas böses versucht wurde. Ich würde deshalb auf einen 
> unsauberen
> Spider tippen, der sich irgendwie aufgehängt hat.
> 
> Du kannst entweder alles so lassen und darauf vertrauen, dass 
> der Client
> bald wieder verschwinden wird oder die IP des Clients blocken. 
> 
In diesem fall werde ich wohl vorläufig alles so belassen.
Vielen Dank für eure Hilfe.
Gruss,
Oliver




More information about the Linux-support mailing list