Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Botanfragen an Apache auf vHost blockieren?

Frage Linux Apache Server

Mitglied: Balgam

Balgam (Level 1) - Jetzt verbinden

24.08.2011 um 15:14 Uhr, 5504 Aufrufe, 10 Kommentare

Hallo,
habe einen ubuntu vServer bei Hetzner gehostet. Auf dem Server läuft ein Apache und dahinter ein Tomcat.
Im Apache ist ein VirtualHost mit mod_proxy und mod_rewrite eingerichtet.
Seit einigen Tagen bekomme ich nun ständig Anfragen von seltsamen Seiten.

Hier ein Beispiel:

221.215.112.238 - - [24/Aug/2011:14:39:25 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=12636&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.mymariogames.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; Alexa Toolbar)"
117.41.243.137 - - [24/Aug/2011:14:39:25 +0200] "GET http://feed.peakclick.com/res.php?pin=1323db5bc0ac274bb96243186598e3&am ... HTTP/1.0" 404 530 "http://professionbusiness.com/page/27/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 4.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:26 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
68.68.16.151 - - [24/Aug/2011:14:39:27 +0200] "GET http://ad.xtendmedia.com/st?ad_type=iframe&ad_size=300x250&sect ... HTTP/1.0" 404 524 "http://www.pc4sy.com/download.php" "Mozilla/5.0 (Windows NT 5.1; U; de; rv:1.8.1) Gecko/20061208 Firefox/2.0.0 Opera 9.52"
221.215.112.238 - - [24/Aug/2011:14:39:27 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=10728&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.freegamesjungle.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://img1.cdn.adjuggler.com/banners/ajtg.js HTTP/1.0" 404 542 "http://www.fungamelinks.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; Alexa Toolbar)"

mein Traffic ist seitdem enorm gestiegen.

Meine Frage ist jetzt wie ich diese "Angriffe" abwehren kann.
Falls ihr noch mehr Informationen benötigt sagt bescheid.


Danke und Gruß
Mitglied: michi1983
24.08.2011 um 15:19 Uhr
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der das regeln oder? Für das bezahlst du ja Ist aber nur mein Senf ;)

Gruß
Bitte warten ..
Mitglied: Balgam
24.08.2011 um 15:28 Uhr
Zitat von michi1983:
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der
das regeln oder? Für das bezahlst du ja Ist aber nur mein Senf ;)

Gruß

Ja prinzipiell schon allerdings ist es halt nur ein vServer und kein Managed vServer also ich bezweifle das die mir bei meinem Problem helfen können.
Normalerweise wäre es ja meine Aufgabe den Apache/vServer "sicher" einzurichten.
Die Anfrage habe ich aber jetzt trotzdem mal verschickt.

Danke und Gruß
Bitte warten ..
Mitglied: kekzle
24.08.2011 um 15:42 Uhr
Hi,

eventuell hilft dir mod_spamhaus weiter, das ist ein kleines Apache Modul mit einer Blacklist für solche Gesellen. Bei einigen Distributionen ist es sogar schon dabei (z.b. Ubuntu) und muss nur nachinstalliert werden.



Grüße Kekzle
Bitte warten ..
Mitglied: SlainteMhath
24.08.2011 um 15:47 Uhr
Moin,

da versucht wohl jemand dich (oder deine Logfile-Auswertungs Software) dazu zu bringen auf die per GET abgesetzten URLs zu locken. Entweder um dort Clicks zu erzeugen, oder um dir einen Trojaner unterzuschieben (GET Anfragen an den Server werden OHNE http:// und domain gestellt, also etwa GET /index.php).

Wehren kannst Du dich imo dagegen nur schwer, die Anfragen werden ja kaum immer von der/den gleichen IP(s) kommen. Was ggfs hilft ist deine 404er Seite auf ein Minimum zu beschränken um den Traffic möglichst niedrig zu halten.

lg,
Slainte
Bitte warten ..
Mitglied: Balgam
24.08.2011 um 18:35 Uhr
Hi,
also habe jetzt mal versucht mod_spamhaus anhand dieser: http://www.howtoforge.com/how-to-block-spammers-with-apache2-mod_spamha ... Anleitung einzurichten.
Weiss aber noch nicht ob es funktioniert hat.

Was mich besonders beunruhigt ist der allein Heute eingehende Traffic von 134MB und ausgehende Traffic von 500MB.
Wie kann das sein? Was macht der Apache mit den Anfragen?

Hier mal mein VHost evtl. seht ihr ja auch dort einen Fehler
01.
NameVirtualHost meineadresse.de:80 
02.
 
03.
<VirtualHost meineadresse.de:80> 
04.
        ServerAdmin admin@meineadresse.de 
05.
        ServerName www.meineadresse.de 
06.
 
07.
        DocumentRoot /usr/local/apache-tomcat-7.0.16/webapps/MySite/ 
08.
        ErrorLog /var/log/tomcat/MySite_error-log 
09.
        CustomLog /var/log/tomcat/MySite_access-log combined 
10.
 
11.
        Options +FollowSymLinks +Includes 
12.
 
13.
        #RewriteRule    .*                    -              [L] 
14.
 
15.
        ProxyRequests        on 
16.
 
17.
        rewriteengine on 
18.
 
19.
        RewriteCond %{HTTP_HOST} !^www\.meineadresse\.de [NC] 
20.
        RewriteCond %{HTTP_HOST} !^$ 
21.
        RewriteRule ^/(.*)       http://www.meineadresse.de/$1 [L,R] 
22.
 
23.
        # Reverse Proxy 
24.
        ProxyPass / http://meineadresse:8080/MySite/ 
25.
        ProxyPassReverse  /  http://meineadresse.de:8080/ 
26.
        ProxyPassReverseCookiePath /MySite / 
27.
 
28.
        <Directory /usr/local/apache-tomcat-7.0.16/webapps/MySite/> 
29.
                Options Indexes FollowSymLinks MultiViews 
30.
                AllowOverride None 
31.
                Order allow,deny 
32.
                allow from all 
33.
        </Directory> 
34.
 </VirtualHost>
Da die Anfragen offensichtlich auf meine IP gehen könnte man doch evtl. einfach eine 404 vom Apache liefern lassen.
Allerdings weiss ich nicht wie. Villeicht kann mir ja jmd. von euch dabei helfen.

EDIT:
Derzeit wird man wenn man direkt über die IP kommt auf die Domain umgeleitet. Weiss allerdings selbst gerade nicht genau warum :D
Der Support meine nur das Sie leider nichts machen können aber das ich es mit Filterregeln oder IPTables versuchen soll.


Danke und Gruß
Bitte warten ..
Mitglied: nxclass
25.08.2011 um 00:11 Uhr
schau dir mal fail2ban an - musst dir nur einen Filter für dein Apache log anlegen und schon werden die IPs je nach Einstellung für eine gewisse zeit gesperrt.
Bitte warten ..
Mitglied: Balgam
25.08.2011 um 09:06 Uhr
Moin,
danke hab jetzt mal folgenden Link gefunden http://www.howtoforge.de/anleitung/verhindern-von-brute-force-attacks-m ...
Wäre das das richtige für mich?

Danke und Gruß
Bitte warten ..
Mitglied: SlainteMhath
25.08.2011 um 11:25 Uhr
Jetzt seh ich's erst...
01.
ProxyRequests        on 
Das ist imo keine so gute idee. Damit machst Du Deinen Server zu einem offenen Proxy - das willst Du sicher nicht Das erklärt dann auch die GET's im vollständigen URLs

Apache.org meine dazu: (Quelle http://httpd.apache.org/docs/2.1/mod/mod_proxy.html#proxyrequests )
Do not enable proxying with ProxyRequests until you have secured your server. Open proxy servers are dangerous both to your network and to the Internet at large.
Bitte warten ..
Mitglied: Balgam
25.08.2011 um 12:51 Uhr
Hi,
also ich hab jetzt fail2ban mit apache_proxy aktiviert und konfiguriert mittels einer Wiki Anleitung und es scheint auch zu funktionieren.
Zumindest wurden schon einige IPs gebannt.
ProxyRequests habe ich jetzt auf off gestellt. Sieht auch soweit ganz gut aus es kommen noch wenige vereinzelte Anfragen.
Mal abwarten wie es weitergeht.

Auf jeden Fall schonmal ein großes Danke

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Apache Server
Apache conf einem vhost zu ordnen (3)

Frage von Phill93 zum Thema Apache Server ...

Apache Server
APache Weiterleitung SSL über VHOST (7)

Frage von Paster zum Thema Apache Server ...

Apache Server
Alias bzw. Weiterleitung unter Apache 2.4 einrichten (2)

Frage von m.reeger zum Thema Apache Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...