RootForum Community

Hallo!

Mein Server wird jetzt gerade im Moment angegriffen. Die access_log hat lauter solche zeilen:

88.227.101.237 - - [23/Jul/2007:18:35:53 +0200] "GET /toplist/button.php?u=hhikayex HTTP/1.1" 404 194 "http://www.hhikaye.com/toplist.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

was heist das? ich kenne die domain hhikaye.com garnet. Die ist auch nicht auf meinem Server. Habe gerade rund 20-30 IPs gebannt die sone Anfrage haben und jetzt gehts wieder einigermaßen.

Was ist das bitte?

Danke

Nimda05

Stinknormaler Traffik, gewöhne Dich daran.
Es wird automatisiert versucht ein eventuell auf Deinem System installiertes Toplist-Script zu exploiten...

ich habe aber keine toplist!
Die Domain http://www.hhikaye.com liegt nicht auf meinem Server.
Das Verzeichnis /toplist/ habe ich nicht!

Deswegen frage ich ja!

Nimda05 wrote:ich habe aber keine toplist!

Deswegen liefert dein Webserver auch brav einen Error 404 zurück.

Ja aber kann ich irgendwas gegen speziell diese Abfrage machen? Ich kann ja schlecht *.*.*.* bannen. Ich meine ich hatte teilweise bis zu 15 Anfragen pro Sekunde

Nimda05 wrote:ich habe aber keine toplist!

Nimda05 wrote:Das Verzeichnis /toplist/ habe ich nicht!

Siehe Roger Wilco.

Nimda05 wrote:Die Domain http://www.hhikaye.com liegt nicht auf meinem Server.

Die Domain ist auch nur der übergebene (beliebig fälschbare) Referrer.
http://httpd.apache.org/docs/2.0/mod/mo ... onfig.html

Nimda05 wrote:Ja aber kann ich irgendwas gegen speziell diese Abfrage machen?

Nein. Du kannst nur den Response (die 404-Errorseite) verkleinern, alles Andere ist die Mühe nicht wert. Notfalls muss eine leistungfähigere Maschine/Anbindung her...

Nimda05 wrote:Ich meine ich hatte teilweise bis zu 15 Anfragen pro Sekunde

Das ist doch harmlos...

Falls dich das wirklich stören sollte und länger anhält setze einfach fail2ban ein und schreibe kurz eine Regel die die o.g. Zeile auswertet/ identifiziert und die IP sperrt. (~1 Zeile in der Konfiguration)

Was Scripte angeht, die Logfiles durchwühlen und dann mit iptables rumspielen, so hatten wir da mindestens einen interessanten Thread in letzter Zeit. Wo war der noch... ach, gibt ja die Forensuche.