Hallo!
Mein Server wird jetzt gerade im Moment angegriffen. Die access_log hat lauter solche zeilen:
88.227.101.237 - - [23/Jul/2007:18:35:53 +0200] "GET /toplist/button.php?u=hhikayex HTTP/1.1" 404 194 "http://www.hhikaye.com/toplist.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
was heist das? ich kenne die domain hhikaye.com garnet. Die ist auch nicht auf meinem Server. Habe gerade rund 20-30 IPs gebannt die sone Anfrage haben und jetzt gehts wieder einigermaßen.
Was ist das bitte?
Danke
Nimda05
DDoS Angriff
Re: DDoS Angriff
Stinknormaler Traffik, gewöhne Dich daran.
Es wird automatisiert versucht ein eventuell auf Deinem System installiertes Toplist-Script zu exploiten...
Es wird automatisiert versucht ein eventuell auf Deinem System installiertes Toplist-Script zu exploiten...
Re: DDoS Angriff
ich habe aber keine toplist!
Die Domain http://www.hhikaye.com liegt nicht auf meinem Server.
Das Verzeichnis /toplist/ habe ich nicht!
Deswegen frage ich ja!
Die Domain http://www.hhikaye.com liegt nicht auf meinem Server.
Das Verzeichnis /toplist/ habe ich nicht!
Deswegen frage ich ja!
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: DDoS Angriff
Deswegen liefert dein Webserver auch brav einen Error 404 zurück.Nimda05 wrote:ich habe aber keine toplist!
Re: DDoS Angriff
Ja aber kann ich irgendwas gegen speziell diese Abfrage machen? Ich kann ja schlecht *.*.*.* bannen. Ich meine ich hatte teilweise bis zu 15 Anfragen pro Sekunde
Re: DDoS Angriff
Nimda05 wrote:ich habe aber keine toplist!
Siehe Roger Wilco.Nimda05 wrote:Das Verzeichnis /toplist/ habe ich nicht!
Die Domain ist auch nur der übergebene (beliebig fälschbare) Referrer.Nimda05 wrote:Die Domain http://www.hhikaye.com liegt nicht auf meinem Server.
http://httpd.apache.org/docs/2.0/mod/mo ... onfig.html
Re: DDoS Angriff
Nein. Du kannst nur den Response (die 404-Errorseite) verkleinern, alles Andere ist die Mühe nicht wert. Notfalls muss eine leistungfähigere Maschine/Anbindung her...Nimda05 wrote:Ja aber kann ich irgendwas gegen speziell diese Abfrage machen?
Das ist doch harmlos...Nimda05 wrote:Ich meine ich hatte teilweise bis zu 15 Anfragen pro Sekunde
Re: DDoS Angriff
Falls dich das wirklich stören sollte und länger anhält setze einfach fail2ban ein und schreibe kurz eine Regel die die o.g. Zeile auswertet/ identifiziert und die IP sperrt. (~1 Zeile in der Konfiguration)
Re: DDoS Angriff
Was Scripte angeht, die Logfiles durchwühlen und dann mit iptables rumspielen, so hatten wir da mindestens einen interessanten Thread in letzter Zeit. Wo war der noch... ach, gibt ja die Forensuche.