Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Botanfragen an Apache auf vHost blockieren?

Mitglied: Balgam

Balgam (Level 1) - Jetzt verbinden

24.08.2011 um 15:14 Uhr, 5882 Aufrufe, 10 Kommentare

Hallo,
habe einen ubuntu vServer bei Hetzner gehostet. Auf dem Server läuft ein Apache und dahinter ein Tomcat.
Im Apache ist ein VirtualHost mit mod_proxy und mod_rewrite eingerichtet.
Seit einigen Tagen bekomme ich nun ständig Anfragen von seltsamen Seiten.

Hier ein Beispiel:

221.215.112.238 - - [24/Aug/2011:14:39:25 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=12636&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.mymariogames.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; Alexa Toolbar)"
117.41.243.137 - - [24/Aug/2011:14:39:25 +0200] "GET http://feed.peakclick.com/res.php?pin=1323db5bc0ac274bb96243186598e3&am ... HTTP/1.0" 404 530 "http://professionbusiness.com/page/27/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 4.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:26 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
68.68.16.151 - - [24/Aug/2011:14:39:27 +0200] "GET http://ad.xtendmedia.com/st?ad_type=iframe&ad_size=300x250&sect ... HTTP/1.0" 404 524 "http://www.pc4sy.com/download.php" "Mozilla/5.0 (Windows NT 5.1; U; de; rv:1.8.1) Gecko/20061208 Firefox/2.0.0 Opera 9.52"
221.215.112.238 - - [24/Aug/2011:14:39:27 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=10728&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.freegamesjungle.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://img1.cdn.adjuggler.com/banners/ajtg.js HTTP/1.0" 404 542 "http://www.fungamelinks.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; Alexa Toolbar)"

mein Traffic ist seitdem enorm gestiegen.

Meine Frage ist jetzt wie ich diese "Angriffe" abwehren kann.
Falls ihr noch mehr Informationen benötigt sagt bescheid.


Danke und Gruß
Mitglied: michi1983
24.08.2011 um 15:19 Uhr
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der das regeln oder? Für das bezahlst du ja Ist aber nur mein Senf ;)

Gruß
Bitte warten ..
Mitglied: Balgam
24.08.2011 um 15:28 Uhr
Zitat von michi1983:
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der
das regeln oder? Für das bezahlst du ja Ist aber nur mein Senf ;)

Gruß

Ja prinzipiell schon allerdings ist es halt nur ein vServer und kein Managed vServer also ich bezweifle das die mir bei meinem Problem helfen können.
Normalerweise wäre es ja meine Aufgabe den Apache/vServer "sicher" einzurichten.
Die Anfrage habe ich aber jetzt trotzdem mal verschickt.

Danke und Gruß
Bitte warten ..
Mitglied: kekzle
24.08.2011 um 15:42 Uhr
Hi,

eventuell hilft dir mod_spamhaus weiter, das ist ein kleines Apache Modul mit einer Blacklist für solche Gesellen. Bei einigen Distributionen ist es sogar schon dabei (z.b. Ubuntu) und muss nur nachinstalliert werden.



Grüße Kekzle
Bitte warten ..
Mitglied: SlainteMhath
24.08.2011 um 15:47 Uhr
Moin,

da versucht wohl jemand dich (oder deine Logfile-Auswertungs Software) dazu zu bringen auf die per GET abgesetzten URLs zu locken. Entweder um dort Clicks zu erzeugen, oder um dir einen Trojaner unterzuschieben (GET Anfragen an den Server werden OHNE http:// und domain gestellt, also etwa GET /index.php).

Wehren kannst Du dich imo dagegen nur schwer, die Anfragen werden ja kaum immer von der/den gleichen IP(s) kommen. Was ggfs hilft ist deine 404er Seite auf ein Minimum zu beschränken um den Traffic möglichst niedrig zu halten.

lg,
Slainte
Bitte warten ..
Mitglied: Balgam
24.08.2011 um 18:35 Uhr
Hi,
also habe jetzt mal versucht mod_spamhaus anhand dieser: http://www.howtoforge.com/how-to-block-spammers-with-apache2-mod_spamha ... Anleitung einzurichten.
Weiss aber noch nicht ob es funktioniert hat.

Was mich besonders beunruhigt ist der allein Heute eingehende Traffic von 134MB und ausgehende Traffic von 500MB.
Wie kann das sein? Was macht der Apache mit den Anfragen?

Hier mal mein VHost evtl. seht ihr ja auch dort einen Fehler
01.
NameVirtualHost meineadresse.de:80 
02.
 
03.
<VirtualHost meineadresse.de:80> 
04.
        ServerAdmin admin@meineadresse.de 
05.
        ServerName www.meineadresse.de 
06.
 
07.
        DocumentRoot /usr/local/apache-tomcat-7.0.16/webapps/MySite/ 
08.
        ErrorLog /var/log/tomcat/MySite_error-log 
09.
        CustomLog /var/log/tomcat/MySite_access-log combined 
10.
 
11.
        Options +FollowSymLinks +Includes 
12.
 
13.
        #RewriteRule    .*                    -              [L] 
14.
 
15.
        ProxyRequests        on 
16.
 
17.
        rewriteengine on 
18.
 
19.
        RewriteCond %{HTTP_HOST} !^www\.meineadresse\.de [NC] 
20.
        RewriteCond %{HTTP_HOST} !^$ 
21.
        RewriteRule ^/(.*)       http://www.meineadresse.de/$1 [L,R] 
22.
 
23.
        # Reverse Proxy 
24.
        ProxyPass / http://meineadresse:8080/MySite/ 
25.
        ProxyPassReverse  /  http://meineadresse.de:8080/ 
26.
        ProxyPassReverseCookiePath /MySite / 
27.
 
28.
        <Directory /usr/local/apache-tomcat-7.0.16/webapps/MySite/> 
29.
                Options Indexes FollowSymLinks MultiViews 
30.
                AllowOverride None 
31.
                Order allow,deny 
32.
                allow from all 
33.
        </Directory> 
34.
 </VirtualHost>
Da die Anfragen offensichtlich auf meine IP gehen könnte man doch evtl. einfach eine 404 vom Apache liefern lassen.
Allerdings weiss ich nicht wie. Villeicht kann mir ja jmd. von euch dabei helfen.

EDIT:
Derzeit wird man wenn man direkt über die IP kommt auf die Domain umgeleitet. Weiss allerdings selbst gerade nicht genau warum :D
Der Support meine nur das Sie leider nichts machen können aber das ich es mit Filterregeln oder IPTables versuchen soll.


Danke und Gruß
Bitte warten ..
Mitglied: nxclass
25.08.2011 um 00:11 Uhr
schau dir mal fail2ban an - musst dir nur einen Filter für dein Apache log anlegen und schon werden die IPs je nach Einstellung für eine gewisse zeit gesperrt.
Bitte warten ..
Mitglied: Balgam
25.08.2011 um 09:06 Uhr
Moin,
danke hab jetzt mal folgenden Link gefunden http://www.howtoforge.de/anleitung/verhindern-von-brute-force-attacks-m ...
Wäre das das richtige für mich?

Danke und Gruß
Bitte warten ..
Mitglied: SlainteMhath
25.08.2011 um 11:25 Uhr
Jetzt seh ich's erst...
01.
ProxyRequests        on 
Das ist imo keine so gute idee. Damit machst Du Deinen Server zu einem offenen Proxy - das willst Du sicher nicht Das erklärt dann auch die GET's im vollständigen URLs

Apache.org meine dazu: (Quelle http://httpd.apache.org/docs/2.1/mod/mod_proxy.html#proxyrequests )
Do not enable proxying with ProxyRequests until you have secured your server. Open proxy servers are dangerous both to your network and to the Internet at large.
Bitte warten ..
Mitglied: Balgam
25.08.2011 um 12:51 Uhr
Hi,
also ich hab jetzt fail2ban mit apache_proxy aktiviert und konfiguriert mittels einer Wiki Anleitung und es scheint auch zu funktionieren.
Zumindest wurden schon einige IPs gebannt.
ProxyRequests habe ich jetzt auf off gestellt. Sieht auch soweit ganz gut aus es kommen noch wenige vereinzelte Anfragen.
Mal abwarten wie es weitergeht.

Auf jeden Fall schonmal ein großes Danke

Gruß
Bitte warten ..
Ähnliche Inhalte
Apache Server
APache Weiterleitung SSL über VHOST
Frage von PasterApache Server7 Kommentare

Hallo zusammen, ich habe ein Problem, da mein Code nicht funktioniert: Ich möchte gerne dass folgende Adressen alle weitergeleitet ...

Apache Server
Apache conf einem vhost zu ordnen
Frage von Phill93Apache Server3 Kommentare

Hallo, ich hab hier eine Software die sich auf einem Debian 8 eine conf im /etc/apache2/config-aviable angelegt hat. Jetzt ...

Apache Server
Froxlor Apache 2 - IP has no vHost
gelöst Frage von NintoxApache Server1 Kommentar

Hallo zusammen, ich hab ein kleines Problem. Nach dem ich versucht habe, über vHost-Einträge unter /site-available bzw. direkt in ...

Apache Server

Apache ignoriert vhosts mit einem sternchen statt IP bei VirtualHost

gelöst Frage von StefanKittelApache Server3 Kommentare

Hallo, ich habe gerade mal wieder einen web-server aufgesetzt. So wie sonst auch immer mit meinen Skripten. Alles ist ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 9 StundenSonstige Systeme4 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 12 StundenDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 17 StundenWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 1 TagHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
Viren und Trojaner
Office365 Trojaner Analyse
Frage von ZeppelinViren und Trojaner14 Kommentare

Liebe Community, ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden ...

Netzwerkgrundlagen
Werksreset HP 1920S-24G
gelöst Frage von HenereNetzwerkgrundlagen14 Kommentare

Servus zusammen, ich habe mir 2 neue Switche zugelegt, doch ich komme damit nicht ganz klar. Waren Vorführgeräte zum ...

DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL13 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Firewall
Sophos UTM 9.5 Firewall Log-File durchsuchen
gelöst Frage von Leo-leFirewall12 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...