ich habe seit knapp 2 Tagen ein Problem, Auszu aus dem Apachelog:
Code: Select all
66.249.65.225 - - [26/Oct/2004:04:34:13 +0200] "GET /geschaeft.php?gebaeude=36557&goto= HTTP/1.1" 200 4518 "-" "Mediapartners-Google/2.1"
66.249.65.225 - - [26/Oct/2004:04:34:58 +0200] "GET /kaufen.php?id=140527 HTTP/1.1" 200 4518 "-" "Mediapartners-Google/2.1"
66.249.65.225 - - [26/Oct/2004:04:34:59 +0200] "GET /kaufen.php?id=140527 HTTP/1.1" 200 4518 "-" "Mediapartners-Google/2.1"
66.249.65.225 - - [26/Oct/2004:04:53:31 +0200] "GET /kaufen.php?id=140528 HTTP/1.1" 200 4518 "-" "Mediapartners-Google/2.1"
66.249.65.225 - - [26/Oct/2004:04:53:32 +0200] "GET /kaufen.php?id=140528 HTTP/1.1" 200 4518 "-" "Mediapartners-Google/2.1"
66.249.65.225 - - [26/Oct/2004:04:53:49 +0200] "GET /marktplatz.php?produkt=typa HTTP/1.1" 200 4518 "-" "Mediapartners-Google/2.1"
66.249.65.225 - - [26/Oct/2004:04:53:50 +0200] "GET /marktplatz.php?produkt=typa HTTP/1.1" 200 4518 "-" "Mediapartners-Google/2.1"
66.249.65.225 - - [26/Oct/2004:04:55:17 +0200] "GET /pn.php?lesen=472859 HTTP/1.1" 200 4518 "-" "Mediapartners-Google/2.1"
a) Alle Dateien auf die zugegriffen wird, geben nichts außer einem Login zurück, da sich dahinter ein Memberbereich verbirgt. Außerdem sendet dieser "Angreifer" keine Daten an das Login. Ich habe dafür extra Scripte gebaut, die jeden loggen damit ich herausfinden kann wer oder was das ist.
b) Ich habe Google angeschrieben, die schauen sich gerade das Log an dass ich denen gesendet habe. Ich befürchte aber dass es kein "Google" Bot ist sondern da jemand "natürliches" attackiert?
c) Auch mein Forum ist seit heute betroffen (anderer rootie, andere IP, aber mit Mainseite verlinkt die URL), ich konnte dessen IP (andere IP) jedoch sperren. Nur Traffic erzeugt er immer noch und gesperrt ist die IP nur im Forum.
Ich weiss leider nicht, was ich machen kann. Ich glaube da hat es jemand auf uns abgesehen???
Ist nicht so, dass der "Angreifer"? unmengen an Traffic verballert, da ich zum Glück den Login nicht so aufwendig gestaltet habe, jedoch werden das locker 1 GB pro Tag die drauf gehen durch diese Attacke.
Ich stehe nun leider am Ende meiner Kentnisse, welche Möglichkeiten habe ich, die IPs komplett auszusperren?? Scripttechnisch will ich das nicht lösen, sondern den Attacker direkt aussperren (denke aber das geht nur im netzwerk des Rootieanbieters?), er verwendet diese "FakeIP" seit den ersten Minuten. Oder doch ein Bot der Ammok läuft? Hilfe :(
Beide rooties benutzen debian ... Ich wäre warscheinlich erst darüber gestolpert, wenn ich mal wieder in die Logs geschaut hätte. Gefunden habe ich diese Attacke nachdem die Adviews (Bannertausch) auf dem Login plötzlich 3mal so hoch waren und der Tauschbetreiber mich nun der Manipulation bezichtigt.
Ratlosigkeit in meinem Kopf.
Danke für jene die mir Tipps geben können.
