RootForum Community

Mojn,
mein kleiner Apache ist seit Tagen in so ein Blog / Referer-Ding reingerutscht.


62.23.138.107 - - [24/Jan/2006:17:30:49 +0100] "GET /blog/blogs/index.php HTTP/1.1" 200 16720 "http://www.incest-movie.at.nr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7"
218.12.38.82 - - [24/Jan/2006:17:30:52 +0100] "GET /blog/blogs/index.php HTTP/1.0" 200 16720 "http://www.incest-pics.at.nr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7"
202.106.122.151 - - [24/Jan/2006:17:30:56 +0100] "GET /blog/blogs/index.php HTTP/1.0" 200 16720 "http://www.forced-sex.at.nr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7"
200.161.25.111 - - [24/Jan/2006:17:31:00 +0100] "GET /blog/blogs/index.php HTTP/1.1" 200 16720 "http://www.incest-sex.at.nr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7"
24.147.28.245 - - [24/Jan/2006:17:31:01 +0100] "GET /blog/blogs/index.php HTTP/1.0" 200 16720 "http://www.family-incest.at.nr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7"
203.207.195.92 - - [24/Jan/2006:17:31:02 +0100] "GET /blog/blogs/index.php HTTP/1.1" 200 16720 "http://www.forced-sex.at.nr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7"
218.56.32.230 - - [24/Jan/2006:17:31:07 +0100] "GET /blog/blogs/index.php HTTP/1.0" 200 16720 "http://www.rape-movie.at.nr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7"
205.237.144.7 - - [24/Jan/2006:17:31:11 +0100] "GET /blog/blogs/index.php HTTP/1.0" 200 16720 "http://www.incest-pictures.at.nr/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7"


Wenn ich die üblen Links löschen soll bitte sofort Bescheid geben.

mfg,

Und was ist die Frage?

Ja, sorry!
Ich bin sonst eher ein Post Muffel ;-)

Aber im Ernst:
Was kann ich gegen diesen Apache-Spam machen? Das sind über 1GB Traffic pro Tag.

mfg,

Entweder mit mod_access eine IP-Adress/einen IP-Bereich sperren (sofern sich einer ermittlen lässt) oder mit mod_rewrite den Referrer überprüfen und dann ggf. 403 zurückgeben.

Roger Wilco wrote:mit mod_rewrite den Referrer überprüfen und dann ggf. 403 zurückgeben.

Ich würde ein [R=302,L] auf 256.256.256.256 bevorzugen ;)

Schau dir mal mit apachetop an, von welchen IPs das ganze kommt und unterbinde diese dann einfach mit einem

ALL: 123.123.123.123

in der /etc/hosts.deny. Damit haben diese IPs garkeinen Zugriff auf deinen Server mehr. :)
Siehe dazu auch 'man hosts_access'.

Damit haben diese IPs garkeinen Zugriff auf deinen Server mehr

...sofern der Apache auch wirklich gegen tcp_wrapper gelinkt wurde. ;)

Auch ohne explizites "Wieso?":
http://en.wikipedia.org/wiki/Referer_spam
Als Vorbeugung oder um den Spammern/Angreifern den Lohn ihrer Mühe zu verwehren ist es sinnvoll Suchmaschienen zu verbieten (z.b. per robots.txt) die veröffentlichte Webserverstatistik bzw die "verlinkt von"-Seite zu indizieren.

Man lernt ja nie aus!
Danke erstmal für die Vorschläge.

Mir erschien die hosts.deny Lösung sehr gut bis ich feststellte, daß das nicht funktioniert.
IP Adresse des Schmutzfinkes rein, SuSEconfig bzw reboot und : der Schmutz war immer noch da.
Jetzt hab ich in den Irren und Wirren des Netztes die Nachricht gefunden, hosts.deny setzt inetd vorraus. Ich habe aber xinetd.
Dann funktioniert das so nicht?

Durch http://en.wikipedia.org/wiki/Referer_spam dachte ich, ich sperr mal mit
<Location /blog>
Deny from all
</Location>
diese miesen Gesellen aus, aber nix. Ich hab das in die vhost.conf eingesetzt.

Ich bin mir auch gar nicht sicher wie die alle zu mir kommen, weil die original Site schon bei einem anderen Provider liegt.
Komisch.

Ich hätte einfach nicht anfangen sollen zu bohren.
Nächstes Mal einfach
rcapache2 stop


In diesem Sinne,

hallo

http://www.modsecurity.org/

gruss