DOS Angriff

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
powie
Posts: 80
Joined: 2002-09-25 16:41
Location: Singen
Contact:
Contact powie
 

DOS Angriff

Post by powie »

Wir haben seit drei Tagen das Problem offensichtlicher DOS Attacken gegen einen Server mit einem VB Forum. Die Angriffe kommen von sehr vielen unterschiedlichen IP's, deshalb können wir die nicht einfach so mit iptables aussperren. Auch über den UserAgent lässt sich nichts machen. Soweit ich das recherchiert habe könnte da auch ein anonymizer dahinterstecken. Mit den Agriffen Wird der Apache so geflooded das die Maschine den Out of Memory tod stirbt.

Jemand eine Idee?

Hier ein paar Auszüge aus dem access_log vor dem Absturz:

Code: Select all

200.31.23.195 - telefone [28/Feb/2005:22:30:37 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT5.0; NetCaptor )"
210.212.2.70 - mellow [28/Feb/2005:22:30:22 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows XP; DigiExt )"
210.212.2.70 - cum [28/Feb/2005:22:30:23 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows NT5.0; DigiExt )"
210.212.2.70 - gersh [28/Feb/2005:22:29:51 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows XP; ezn IE )"
200.13.229.178 - tttttttt99 [28/Feb/2005:22:29:27 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT5.0; ezn IE )"
200.13.229.178 - admin2 [28/Feb/2005:22:29:27 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; AOL 5.0; win9x/NT 4.90 )"
200.13.229.178 - foot [28/Feb/2005:22:29:39 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows 98; DigiExt )"
163.17.101.125 - maddog [28/Feb/2005:22:29:08 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; AOL 5.0; TWRAITH )"
200.31.23.195 - edyenko [28/Feb/2005:22:31:34 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de/login.php" "Mozilla/5.0 ( compatible; MSIE 5.01; AOL 5.0; Compaq )"
200.31.23.195 - samj [28/Feb/2005:22:31:13 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT4.0; Compaq )"
200.31.23.195 - nala [28/Feb/2005:22:30:25 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; AOL 5.0; DigiExt )"
196.41.10.174 - dwnahwy [28/Feb/2005:22:29:41 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows XP; Compaq )"
196.2.56.13 - fuzzle [28/Feb/2005:22:29:15 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT5.0; TWRAITH )"
196.41.10.174 - humara [28/Feb/2005:22:29:39 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows NT5.0; DigiExt )"
196.2.56.13 - ref141 [28/Feb/2005:22:29:15 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows 98; DigiExt )"
200.31.23.195 - sonny [28/Feb/2005:22:31:13 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows 98; DigiExt )"
202.124.224.15 - december [28/Feb/2005:22:31:46 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de/login.php" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows XP; MSNIA )"
200.254.125.190 - telefone [28/Feb/2005:22:30:16 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows XP; DigiExt )"
200.67.79.230 - dhayes [28/Feb/2005:22:32:47 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows XP; DigiExt )"
200.67.79.230 - annoy [28/Feb/2005:22:33:01 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows NT4.0; DigiExt )"
200.67.79.230 - gersh [28/Feb/2005:22:33:02 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; AOL 5.0; DigiExt )"
200.67.79.230 - devils [28/Feb/2005:22:33:07 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows NT4.0; DigiExt )"
200.67.79.230 - bissjop [28/Feb/2005:22:33:00 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows 98; DigiExt )"
213.168.120.161 - - [28/Feb/2005:22:34:13 +0100] "GET /ub_banner_klein.jpg HTTP/1.1" 200 14642 "http://www.vbulletin-germany.com/forum/showthread.php?t=15900" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
200.67.79.230 - cheo [28/Feb/2005:22:31:51 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows XP; DigiExt )"
210.212.2.70 - begood [28/Feb/2005:22:29:57 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows 98; Compaq )"
200.67.79.230 - c3po [28/Feb/2005:22:32:55 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows 98; MSNIA )"
210.212.2.70 - fargifiction [28/Feb/2005:22:29:58 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT4.0; athome0107 )"
200.67.79.230 - laney [28/Feb/2005:22:33:01 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows XP; DigiExt )"
210.212.2.70 - mmmmmmm [28/Feb/2005:22:29:56 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT4.0; DigiExt )"
200.67.79.230 - cum [28/Feb/2005:22:33:07 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows XP; DigiExt )"
200.67.79.230 - aidan [28/Feb/2005:22:33:58 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows 98; TWRAITH )"
200.67.79.230 - begood [28/Feb/2005:22:34:15 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows 98; win9x/NT 4.90 )"
200.67.79.230 - fargifiction [28/Feb/2005:22:34:16 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows XP; NetCaptor )"
202.175.234.162 - earth [28/Feb/2005:22:34:15 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows 98; NetCaptor )"
200.67.79.230 - mmmmmmm [28/Feb/2005:22:32:28 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; AOL 5.0; DigiExt )"
200.67.79.230 - nihao [28/Feb/2005:22:34:13 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows NT4.0; TWRAITH )"
210.212.2.70 - waters [28/Feb/2005:22:34:13 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; AOL 5.0; MSNIA )"
200.67.79.230 - sean [28/Feb/2005:22:33:02 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; AOL 5.0; athome0107 )"
200.67.79.230 - area69 [28/Feb/2005:22:33:52 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; AOL 5.0; athome020 )"
210.212.2.70 - aidan [28/Feb/2005:22:30:17 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows 98; DigiExt )"
200.58.160.148 - hhhh [28/Feb/2005:22:34:16 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; AOL 5.0; DigiExt )"
200.67.79.230 - dole2000 [28/Feb/2005:22:32:20 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT5.0; athome0107 )"
200.67.79.230 - bgrn [28/Feb/2005:22:32:28 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; AOL 5.0; DigiExt )"
200.67.79.230 - cgisucks [28/Feb/2005:22:34:15 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows 98; FREEI v2.53 )"
200.67.79.230 - sanford [28/Feb/2005:22:33:13 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT5.0; DigiExt )"
200.67.79.230 - roger [28/Feb/2005:22:32:43 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT4.0; athome0107 )"
200.67.79.230 - burnt [28/Feb/2005:22:34:59 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de/login.php" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows 98; DigiExt )"
200.67.79.230 - mellow [28/Feb/2005:22:32:31 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.0; Windows 98; NetCaptor )"
200.67.79.230 - waters [28/Feb/2005:22:34:57 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT4.0; Compaq )"
200.67.79.230 - Dreamer [28/Feb/2005:22:32:30 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; AOL 5.0; NetCaptor )"
203.144.143.7 - garth [28/Feb/2005:22:35:05 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows XP; Compaq )"
210.212.2.70 - blackhawks [28/Feb/2005:22:30:04 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT4.0; DigiExt )"
210.212.2.70 - agentx [28/Feb/2005:22:30:24 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT4.0; TWRAITH )"
200.67.79.230 - ROCCO [28/Feb/2005:22:35:06 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows 98; DigiExt )"
200.67.79.230 - toshiaki [28/Feb/2005:22:33:06 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows NT4.0; athome020 )"
84.136.129.114 - - [28/Feb/2005:22:31:46 +0100] "GET /abi05/shh/dh.gif HTTP/1.1" 200 172660 "http://kwick.de/profil/Pages4web_net/gb" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.5) Gecko/20041122 Firefox/1.0"
200.67.79.230 - 12345 [28/Feb/2005:22:35:06 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT5.0; FREEI v2.53 )"
203.144.143.7 - chump [28/Feb/2005:22:35:06 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; AOL 5.0; athome020 )"
200.67.79.230 - blackhawks [28/Feb/2005:22:35:06 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; Windows NT4.0; DigiExt )"
200.67.79.230 - hidden [28/Feb/2005:22:31:58 +0100] "HEAD /login.php HTTP/1.1" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.5; AOL 5.0; Compaq )"
Top
dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe
Contact:
Contact dodolin
 

Re: DOS Angriff

Post by dodolin »

Auffallend ist mir das DigiExt im UserAgent. Gibt es das wirklich auch in legalen Requests? Ansonsten würde ich mal anfangen, das rauszufiltern. Ansonsten kannst du wohl eh recht wenig machen.
Top
powie
Posts: 80
Joined: 2002-09-25 16:41
Location: Singen
Contact:
Contact powie
 

Re: DOS Angriff

Post by powie »

das DigiExt kommt an dieser stelle im Log wohl oft vor, aber insgesamt findet man da hunderte "ausgedachter" Namen, die wohl nur den Sinn haben zu erschweren die Attacken auszusperren.
Top
thrawn1024
Posts: 47
Joined: 2004-09-04 21:36
 

Re: DOS Angriff

Post by thrawn1024 »

hier um forum wurde mal mod_evasive erwähnt..
hab aber keinerlei erfahrung damit, aber anschaun schadet nicht :)
Top
kawfy
Posts: 307
Joined: 2002-08-08 23:45
 

HEAD per RewriteRule rauswerfen

Post by kawfy »

:!: Mir fällt auf, dass diese Zugriffe ja ausschließlich HEAD-Requests sind.

Code: Select all

200.31.23.195 - telefone [28/Feb/2005:22:30:37 +0100] "HEAD /login.php HTTP/1.0" 302 - "http://www.united-forum.de:80" "Mozilla/5.0 ( compatible; MSIE 5.01; Windows NT5.0; NetCaptor )"
:idea: Per Apache-Rewrite-Modul kannst du über THE_REQUEST solche Aufrufe heraus filtern. Dann noch zusätzlich nach REMOTE_USER gucken.

Code: Select all

RewriteEngine On
RewriteCond %{THE_REQUEST} =^HEAD /login.php HTTP/1.0
RewriteCond %{REMOTE_USER} !=""
RewriteRule ^/$            - [F]
AOL ist ja für seine effizienten Proxies bekannt (?), es könnte sich bei den HEAD-Requests auch um Abfragen der AOL-Proxy handeln. Allerdings stammen die Abfragen von den IP-Adressen mit dem AOL-User-Agent nicht aus dem AOL-Netzbereich. Vielleicht von anderen Proxies? Dann aber wäre REMOTE_USER nicht gesetzt -- zumindest nicht beim Erstzugriff und überhaupt nicht, wenn deine Webstiten nicht mit einem Passwortschutz versehen sind. => fabrizierte Requests.

:?: "DigiExt" scheint ab und zu in der User-Agent-Kennung aufzutauchen, ist aber nicht als Bot- oder sonstige Tool-Kennung bekannt -- oder?
Top
dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe
Contact:
Contact dodolin
 

Re: DOS Angriff

Post by dodolin »

"DigiExt" scheint ab und zu in der User-Agent-Kennung aufzutauchen, ist aber nicht als Bot- oder sonstige Tool-Kennung bekannt -- oder?
Doch, ich würde das (nach Gefühl) schon in dieser Ecke einordnen. Scheint mir eine (Browser-)Erweiterung ("Ext") zum "diggen" = harvesten zu sein.
Top
t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel
 

Re: DOS Angriff

Post by t0x1c »

Oder eine rewrite-Rule, welche schaut, ob derjenige, der auf die login.php zugriefen möchte, im refer http://www.united-forum.de stehen hat. Wenn nicht, redirect zu 127.0.0.1.. Weil welcher "normale" user greift schon direkt auf die Anmelde-Seite zu?
Top
alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover
Contact:
Contact alexander newald
 

Re: DOS Angriff

Post by alexander newald »

Alle die ein Bookmark auf die Seite setzen? Ausserdem bleiben dann alle draussen, die keine Ref senden
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11191
Joined: 2003-02-27 01:00
Location: Hamburg
Contact:
Contact Joe User
 

Re: DOS Angriff

Post by Joe User »

@Powie

Du hast nicht zufällig mod_proxy geladen?

Kurzes googlen ergibt unter Anderem folgende Treffer:
http://project.honeynet.org/scans/scan3 ... tacks.html
http://www.broadbandreports.com/forum/r ... ~mode=flat
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
christian-wf
Posts: 14
Joined: 2004-07-03 20:31
Location: Wolfenbüttel
 

Re: DOS Angriff

Post by christian-wf »

Hallo,
den Zugriff vom korrekten Referer abhängig zu machen ist nach meiner Meinung keine gute Lösung. Viele Desktop-Firewallprodukte blockieren die Ã?bermittlung des Referers in der Standardkonfiguration. Ich habe daran bei der Erstellung einer Website auch nicht gedacht und mich nur über die vielen eMails mit Fehlermeldungen der Besucher gewundert, das Problem selbst aber nicht nachvollziehen können.

Mfg. Christian
Top
Post Reply

Return to “Security”