Hallo !
Mein Server scheint angegriffen worden zu sein:
Apache Log: http://nopaste.com/p/aiiAPZ898
IPs: http://nopaste.com/p/acFoaHzBB
Es scheint ein Bot-Netz aus infizierten Windows-Servern zu sein. Mein Server läuft unter Linux. Kann ich dieses IPs irgendwie sperren und ggf. irgendwo melden ?
Wie kann ich sicher gehen, dass nicht auch mein Server infiziert wurde ?
Danke
Gruß
Kreuzwald
Attacke von IPs
Re: Attacke von IPs
Das gehört doch schon zum normalen Hintergrund-Rauschen... Da Dein Server immer schön brav mit Status 400 geantwortet hat, haben die Requests auch keinen Schaden angerichtet. Wirklich etwas dagegen tun kannst Du nicht. Wenn Du zu viel Zeit hast, kannst Du ja die Abuse-Adressen für die IPs per whois rauspopeln und auf diesem Wege die Provider informieren. Ich mache das aber mittlerweile nur noch, wenn die Quelle ein dedizierter Server bei einem Provider in DE, AT oder CH ist - dort reagiert man wenigstens noch auf Abuse-Meldungen.
Problematisch wird es erst, wenn so viele Requests dahinter stecken, dass Dein Server ge-DDoS-t wird (sprich: die Last durch die Müll-Anfragen so stark nach oben getrieben wird, dass normale Requests nicht mehr durchkommen oder nur noch verzögert bedient werden können). In dem Fall bleibt Dir nur, deinen Provider um eine neue IP zu bitten oder wenn das nicht hilft, mit einer dedizierten Firewall und entsprechenden Regelsätzen den Server am Leben halten (das macht viel Arbeit, da die Regelsätze ständig angepasst werden müssen, hilft aber bei geschäftskritischen Systemen, zumindest eine gewisse Erreichbarkeit zu ermöglichen).
Problematisch wird es erst, wenn so viele Requests dahinter stecken, dass Dein Server ge-DDoS-t wird (sprich: die Last durch die Müll-Anfragen so stark nach oben getrieben wird, dass normale Requests nicht mehr durchkommen oder nur noch verzögert bedient werden können). In dem Fall bleibt Dir nur, deinen Provider um eine neue IP zu bitten oder wenn das nicht hilft, mit einer dedizierten Firewall und entsprechenden Regelsätzen den Server am Leben halten (das macht viel Arbeit, da die Regelsätze ständig angepasst werden müssen, hilft aber bei geschäftskritischen Systemen, zumindest eine gewisse Erreichbarkeit zu ermöglichen).
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Re: Attacke von IPs
GET /w00tw00t.at.ISC.SANS.DFind:Das gehört doch schon zum normalen Hintergrund-Rauschen... Da Dein Server immer schön brav mit Status 400 geantwortet hat
Was ist denn das für eine komische Anfrage ?
Es ist nicht auszuschließen, dass auch die anderen Server-Dienste gescannt wurden, oder ?
Kreuzwald 8-[
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Attacke von IPs
Einfach mal eine Suchmaschine damit bemühen. Das ist alles andere als unbekannt...Kreuzwald wrote:GET /w00tw00t.at.ISC.SANS.DFind:
Was ist denn das für eine komische Anfrage ?
Nein, ist es nicht.Kreuzwald wrote:Es ist nicht auszuschließen, dass auch die anderen Server-Dienste gescannt wurden, oder ?