balgam
Goto Top

Botanfragen an Apache auf vHost blockieren?

Hallo,
habe einen ubuntu vServer bei Hetzner gehostet. Auf dem Server läuft ein Apache und dahinter ein Tomcat.
Im Apache ist ein VirtualHost mit mod_proxy und mod_rewrite eingerichtet.
Seit einigen Tagen bekomme ich nun ständig Anfragen von seltsamen Seiten.

Hier ein Beispiel:

221.215.112.238 - - [24/Aug/2011:14:39:25 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=12636&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.mymariogames.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; Alexa Toolbar)"
117.41.243.137 - - [24/Aug/2011:14:39:25 +0200] "GET http://feed.peakclick.com/res.php?pin=1323db5bc0ac274bb96243186598e3&am ... HTTP/1.0" 404 530 "http://professionbusiness.com/page/27/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 4.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:26 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
68.68.16.151 - - [24/Aug/2011:14:39:27 +0200] "GET http://ad.xtendmedia.com/st?ad_type=iframe&ad_size=300x250&sect ... HTTP/1.0" 404 524 "http://www.pc4sy.com/download.php" "Mozilla/5.0 (Windows NT 5.1; U; de; rv:1.8.1) Gecko/20061208 Firefox/2.0.0 Opera 9.52"
221.215.112.238 - - [24/Aug/2011:14:39:27 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=10728&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.freegamesjungle.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://img1.cdn.adjuggler.com/banners/ajtg.js HTTP/1.0" 404 542 "http://www.fungamelinks.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; Alexa Toolbar)"

mein Traffic ist seitdem enorm gestiegen.

Meine Frage ist jetzt wie ich diese "Angriffe" abwehren kann.
Falls ihr noch mehr Informationen benötigt sagt bescheid.


Danke und Gruß

Content-ID: 172006

Url: https://administrator.de/forum/botanfragen-an-apache-auf-vhost-blockieren-172006.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

michi1983
michi1983 24.08.2011 um 15:19:52 Uhr
Goto Top
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der das regeln oder? Für das bezahlst du ja face-smile Ist aber nur mein Senf ;)

Gruß
Balgam
Balgam 24.08.2011 um 15:28:05 Uhr
Goto Top
Zitat von @michi1983:
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der
das regeln oder? Für das bezahlst du ja face-smile Ist aber nur mein Senf ;)

Gruß

Ja prinzipiell schon allerdings ist es halt nur ein vServer und kein Managed vServer also ich bezweifle das die mir bei meinem Problem helfen können.
Normalerweise wäre es ja meine Aufgabe den Apache/vServer "sicher" einzurichten.
Die Anfrage habe ich aber jetzt trotzdem mal verschickt.

Danke und Gruß
kekzle
kekzle 24.08.2011 um 15:42:40 Uhr
Goto Top
Hi,

eventuell hilft dir mod_spamhaus weiter, das ist ein kleines Apache Modul mit einer Blacklist für solche Gesellen. Bei einigen Distributionen ist es sogar schon dabei (z.b. Ubuntu) und muss nur nachinstalliert werden.


Grüße Kekzle
SlainteMhath
SlainteMhath 24.08.2011 um 15:47:25 Uhr
Goto Top
Moin,

da versucht wohl jemand dich (oder deine Logfile-Auswertungs Software) dazu zu bringen auf die per GET abgesetzten URLs zu locken. Entweder um dort Clicks zu erzeugen, oder um dir einen Trojaner unterzuschieben (GET Anfragen an den Server werden OHNE http:// und domain gestellt, also etwa GET /index.php).

Wehren kannst Du dich imo dagegen nur schwer, die Anfragen werden ja kaum immer von der/den gleichen IP(s) kommen. Was ggfs hilft ist deine 404er Seite auf ein Minimum zu beschränken um den Traffic möglichst niedrig zu halten.

lg,
Slainte
Balgam
Balgam 24.08.2011 um 18:35:31 Uhr
Goto Top
Hi,
also habe jetzt mal versucht mod_spamhaus anhand dieser: http://www.howtoforge.com/how-to-block-spammers-with-apache2-mod_spamha ... Anleitung einzurichten.
Weiss aber noch nicht ob es funktioniert hat.

Was mich besonders beunruhigt ist der allein Heute eingehende Traffic von 134MB und ausgehende Traffic von 500MB.
Wie kann das sein? Was macht der Apache mit den Anfragen?

Hier mal mein VHost evtl. seht ihr ja auch dort einen Fehler
NameVirtualHost meineadresse.de:80

<VirtualHost meineadresse.de:80>
        ServerAdmin admin@meineadresse.de
        ServerName www.meineadresse.de

        DocumentRoot /usr/local/apache-tomcat-7.0.16/webapps/MySite/
        ErrorLog /var/log/tomcat/MySite_error-log
        CustomLog /var/log/tomcat/MySite_access-log combined

        Options +FollowSymLinks +Includes

        #RewriteRule    .*                    -              [L]

        ProxyRequests        on

        rewriteengine on

        RewriteCond %{HTTP_HOST} !^www\.meineadresse\.de [NC]
        RewriteCond %{HTTP_HOST} !^$
        RewriteRule ^/(.*)       http://www.meineadresse.de/$1 [L,R]

        # Reverse Proxy
        ProxyPass / http://meineadresse:8080/MySite/
        ProxyPassReverse  /  http://meineadresse.de:8080/
        ProxyPassReverseCookiePath /MySite /

        <Directory /usr/local/apache-tomcat-7.0.16/webapps/MySite/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>
 </VirtualHost>

Da die Anfragen offensichtlich auf meine IP gehen könnte man doch evtl. einfach eine 404 vom Apache liefern lassen.
Allerdings weiss ich nicht wie. Villeicht kann mir ja jmd. von euch dabei helfen.

EDIT:
Derzeit wird man wenn man direkt über die IP kommt auf die Domain umgeleitet. Weiss allerdings selbst gerade nicht genau warum :D
Der Support meine nur das Sie leider nichts machen können aber das ich es mit Filterregeln oder IPTables versuchen soll.


Danke und Gruß
nxclass
nxclass 25.08.2011 um 00:11:00 Uhr
Goto Top
schau dir mal fail2ban an - musst dir nur einen Filter für dein Apache log anlegen und schon werden die IPs je nach Einstellung für eine gewisse zeit gesperrt.
Balgam
Balgam 25.08.2011 um 09:06:38 Uhr
Goto Top
Moin,
danke hab jetzt mal folgenden Link gefunden http://www.howtoforge.de/anleitung/verhindern-von-brute-force-attacks-m ...
Wäre das das richtige für mich?

Danke und Gruß
nxclass
nxclass 25.08.2011 um 10:56:04 Uhr
Goto Top
SlainteMhath
SlainteMhath 25.08.2011 um 11:25:14 Uhr
Goto Top
Jetzt seh ich's erst...
ProxyRequests        on 

Das ist imo keine so gute idee. Damit machst Du Deinen Server zu einem offenen Proxy - das willst Du sicher nicht face-smile Das erklärt dann auch die GET's im vollständigen URLs

Apache.org meine dazu: (Quelle http://httpd.apache.org/docs/2.1/mod/mod_proxy.html#proxyrequests )
Do not enable proxying with ProxyRequests until you have secured your server. Open proxy servers are dangerous both to your network and to the Internet at large.
Balgam
Balgam 25.08.2011 um 12:51:25 Uhr
Goto Top
Hi,
also ich hab jetzt fail2ban mit apache_proxy aktiviert und konfiguriert mittels einer Wiki Anleitung und es scheint auch zu funktionieren.
Zumindest wurden schon einige IPs gebannt.
ProxyRequests habe ich jetzt auf off gestellt. Sieht auch soweit ganz gut aus es kommen noch wenige vereinzelte Anfragen.
Mal abwarten wie es weitergeht.

Auf jeden Fall schonmal ein großes Danke

Gruß