Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Botanfragen an Apache auf vHost blockieren?

Mitglied: Balgam

Balgam (Level 1) - Jetzt verbinden

24.08.2011 um 15:14 Uhr, 5785 Aufrufe, 10 Kommentare

Hallo,
habe einen ubuntu vServer bei Hetzner gehostet. Auf dem Server läuft ein Apache und dahinter ein Tomcat.
Im Apache ist ein VirtualHost mit mod_proxy und mod_rewrite eingerichtet.
Seit einigen Tagen bekomme ich nun ständig Anfragen von seltsamen Seiten.

Hier ein Beispiel:

221.215.112.238 - - [24/Aug/2011:14:39:25 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=12636&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.mymariogames.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; Alexa Toolbar)"
117.41.243.137 - - [24/Aug/2011:14:39:25 +0200] "GET http://feed.peakclick.com/res.php?pin=1323db5bc0ac274bb96243186598e3&am ... HTTP/1.0" 404 530 "http://professionbusiness.com/page/27/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 4.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:26 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
68.68.16.151 - - [24/Aug/2011:14:39:27 +0200] "GET http://ad.xtendmedia.com/st?ad_type=iframe&ad_size=300x250&sect ... HTTP/1.0" 404 524 "http://www.pc4sy.com/download.php" "Mozilla/5.0 (Windows NT 5.1; U; de; rv:1.8.1) Gecko/20061208 Firefox/2.0.0 Opera 9.52"
221.215.112.238 - - [24/Aug/2011:14:39:27 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=10728&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.freegamesjungle.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://img1.cdn.adjuggler.com/banners/ajtg.js HTTP/1.0" 404 542 "http://www.fungamelinks.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; Alexa Toolbar)"

mein Traffic ist seitdem enorm gestiegen.

Meine Frage ist jetzt wie ich diese "Angriffe" abwehren kann.
Falls ihr noch mehr Informationen benötigt sagt bescheid.


Danke und Gruß
Mitglied: michi1983
24.08.2011 um 15:19 Uhr
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der das regeln oder? Für das bezahlst du ja Ist aber nur mein Senf ;)

Gruß
Bitte warten ..
Mitglied: Balgam
24.08.2011 um 15:28 Uhr
Zitat von michi1983:
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der
das regeln oder? Für das bezahlst du ja Ist aber nur mein Senf ;)

Gruß

Ja prinzipiell schon allerdings ist es halt nur ein vServer und kein Managed vServer also ich bezweifle das die mir bei meinem Problem helfen können.
Normalerweise wäre es ja meine Aufgabe den Apache/vServer "sicher" einzurichten.
Die Anfrage habe ich aber jetzt trotzdem mal verschickt.

Danke und Gruß
Bitte warten ..
Mitglied: kekzle
24.08.2011 um 15:42 Uhr
Hi,

eventuell hilft dir mod_spamhaus weiter, das ist ein kleines Apache Modul mit einer Blacklist für solche Gesellen. Bei einigen Distributionen ist es sogar schon dabei (z.b. Ubuntu) und muss nur nachinstalliert werden.



Grüße Kekzle
Bitte warten ..
Mitglied: SlainteMhath
24.08.2011 um 15:47 Uhr
Moin,

da versucht wohl jemand dich (oder deine Logfile-Auswertungs Software) dazu zu bringen auf die per GET abgesetzten URLs zu locken. Entweder um dort Clicks zu erzeugen, oder um dir einen Trojaner unterzuschieben (GET Anfragen an den Server werden OHNE http:// und domain gestellt, also etwa GET /index.php).

Wehren kannst Du dich imo dagegen nur schwer, die Anfragen werden ja kaum immer von der/den gleichen IP(s) kommen. Was ggfs hilft ist deine 404er Seite auf ein Minimum zu beschränken um den Traffic möglichst niedrig zu halten.

lg,
Slainte
Bitte warten ..
Mitglied: Balgam
24.08.2011 um 18:35 Uhr
Hi,
also habe jetzt mal versucht mod_spamhaus anhand dieser: http://www.howtoforge.com/how-to-block-spammers-with-apache2-mod_spamha ... Anleitung einzurichten.
Weiss aber noch nicht ob es funktioniert hat.

Was mich besonders beunruhigt ist der allein Heute eingehende Traffic von 134MB und ausgehende Traffic von 500MB.
Wie kann das sein? Was macht der Apache mit den Anfragen?

Hier mal mein VHost evtl. seht ihr ja auch dort einen Fehler
01.
NameVirtualHost meineadresse.de:80 
02.
 
03.
<VirtualHost meineadresse.de:80> 
04.
        ServerAdmin admin@meineadresse.de 
05.
        ServerName www.meineadresse.de 
06.
 
07.
        DocumentRoot /usr/local/apache-tomcat-7.0.16/webapps/MySite/ 
08.
        ErrorLog /var/log/tomcat/MySite_error-log 
09.
        CustomLog /var/log/tomcat/MySite_access-log combined 
10.
 
11.
        Options +FollowSymLinks +Includes 
12.
 
13.
        #RewriteRule    .*                    -              [L] 
14.
 
15.
        ProxyRequests        on 
16.
 
17.
        rewriteengine on 
18.
 
19.
        RewriteCond %{HTTP_HOST} !^www\.meineadresse\.de [NC] 
20.
        RewriteCond %{HTTP_HOST} !^$ 
21.
        RewriteRule ^/(.*)       http://www.meineadresse.de/$1 [L,R] 
22.
 
23.
        # Reverse Proxy 
24.
        ProxyPass / http://meineadresse:8080/MySite/ 
25.
        ProxyPassReverse  /  http://meineadresse.de:8080/ 
26.
        ProxyPassReverseCookiePath /MySite / 
27.
 
28.
        <Directory /usr/local/apache-tomcat-7.0.16/webapps/MySite/> 
29.
                Options Indexes FollowSymLinks MultiViews 
30.
                AllowOverride None 
31.
                Order allow,deny 
32.
                allow from all 
33.
        </Directory> 
34.
 </VirtualHost>
Da die Anfragen offensichtlich auf meine IP gehen könnte man doch evtl. einfach eine 404 vom Apache liefern lassen.
Allerdings weiss ich nicht wie. Villeicht kann mir ja jmd. von euch dabei helfen.

EDIT:
Derzeit wird man wenn man direkt über die IP kommt auf die Domain umgeleitet. Weiss allerdings selbst gerade nicht genau warum :D
Der Support meine nur das Sie leider nichts machen können aber das ich es mit Filterregeln oder IPTables versuchen soll.


Danke und Gruß
Bitte warten ..
Mitglied: nxclass
25.08.2011 um 00:11 Uhr
schau dir mal fail2ban an - musst dir nur einen Filter für dein Apache log anlegen und schon werden die IPs je nach Einstellung für eine gewisse zeit gesperrt.
Bitte warten ..
Mitglied: Balgam
25.08.2011 um 09:06 Uhr
Moin,
danke hab jetzt mal folgenden Link gefunden http://www.howtoforge.de/anleitung/verhindern-von-brute-force-attacks-m ...
Wäre das das richtige für mich?

Danke und Gruß
Bitte warten ..
Mitglied: SlainteMhath
25.08.2011 um 11:25 Uhr
Jetzt seh ich's erst...
01.
ProxyRequests        on 
Das ist imo keine so gute idee. Damit machst Du Deinen Server zu einem offenen Proxy - das willst Du sicher nicht Das erklärt dann auch die GET's im vollständigen URLs

Apache.org meine dazu: (Quelle http://httpd.apache.org/docs/2.1/mod/mod_proxy.html#proxyrequests )
Do not enable proxying with ProxyRequests until you have secured your server. Open proxy servers are dangerous both to your network and to the Internet at large.
Bitte warten ..
Mitglied: Balgam
25.08.2011 um 12:51 Uhr
Hi,
also ich hab jetzt fail2ban mit apache_proxy aktiviert und konfiguriert mittels einer Wiki Anleitung und es scheint auch zu funktionieren.
Zumindest wurden schon einige IPs gebannt.
ProxyRequests habe ich jetzt auf off gestellt. Sieht auch soweit ganz gut aus es kommen noch wenige vereinzelte Anfragen.
Mal abwarten wie es weitergeht.

Auf jeden Fall schonmal ein großes Danke

Gruß
Bitte warten ..
Ähnliche Inhalte
Hosting & Housing
Apache vhost Lokale Adresse
Frage von justanumber44Hosting & Housing

Hallo :D Und zwar wollte ich nur mal kurz fragen, ob es überhaupt möglich bei Apache bzw. Nginx als ...

Apache Server
APache Weiterleitung SSL über VHOST
Frage von PasterApache Server7 Kommentare

Hallo zusammen, ich habe ein Problem, da mein Code nicht funktioniert: Ich möchte gerne dass folgende Adressen alle weitergeleitet ...

Apache Server
Apache Server Vhost Datei
gelöst Frage von ZeraphieApache Server2 Kommentare

Hallo Administratoren/innen, ich bin eigentlich nur Entwickler und brauche daher mal eure Hilfe zu einer Vhost Datei eines Ubuntu ...

Apache Server
Apache conf einem vhost zu ordnen
Frage von Phill93Apache Server3 Kommentare

Hallo, ich hab hier eine Software die sich auf einem Debian 8 eine conf im /etc/apache2/config-aviable angelegt hat. Jetzt ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 21 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk13 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...