Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Botanfragen an Apache auf vHost blockieren?

Mitglied: Balgam

Balgam (Level 1) - Jetzt verbinden

24.08.2011 um 15:14 Uhr, 5989 Aufrufe, 10 Kommentare

Hallo,
habe einen ubuntu vServer bei Hetzner gehostet. Auf dem Server läuft ein Apache und dahinter ein Tomcat.
Im Apache ist ein VirtualHost mit mod_proxy und mod_rewrite eingerichtet.
Seit einigen Tagen bekomme ich nun ständig Anfragen von seltsamen Seiten.

Hier ein Beispiel:

221.215.112.238 - - [24/Aug/2011:14:39:25 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=12636&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.mymariogames.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; Alexa Toolbar)"
117.41.243.137 - - [24/Aug/2011:14:39:25 +0200] "GET http://feed.peakclick.com/res.php?pin=1323db5bc0ac274bb96243186598e3&am ... HTTP/1.0" 404 530 "http://professionbusiness.com/page/27/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 4.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:26 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
68.68.16.151 - - [24/Aug/2011:14:39:27 +0200] "GET http://ad.xtendmedia.com/st?ad_type=iframe&ad_size=300x250&sect ... HTTP/1.0" 404 524 "http://www.pc4sy.com/download.php" "Mozilla/5.0 (Windows NT 5.1; U; de; rv:1.8.1) Gecko/20061208 Firefox/2.0.0 Opera 9.52"
221.215.112.238 - - [24/Aug/2011:14:39:27 +0200] "GET http://ads.ad4game.com/www/delivery/avw.php?zoneid=16203&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.gamebx.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://ads.ad4game.com/www/delivery/afr.php?zoneid=10728&cb=INSERT_ ... HTTP/1.0" 404 540 "http://www.freegamesjungle.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"
221.215.112.238 - - [24/Aug/2011:14:39:29 +0200] "GET http://img1.cdn.adjuggler.com/banners/ajtg.js HTTP/1.0" 404 542 "http://www.fungamelinks.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; Alexa Toolbar)"

mein Traffic ist seitdem enorm gestiegen.

Meine Frage ist jetzt wie ich diese "Angriffe" abwehren kann.
Falls ihr noch mehr Informationen benötigt sagt bescheid.


Danke und Gruß
Mitglied: michi1983
24.08.2011 um 15:19 Uhr
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der das regeln oder? Für das bezahlst du ja Ist aber nur mein Senf ;)

Gruß
Bitte warten ..
Mitglied: Balgam
24.08.2011 um 15:28 Uhr
Zitat von michi1983:
Hallo,

ich kann dir weniger weiterhelfen, aber wenn ich du wäre, würde ich den Hoster damit mal konfrontieren. Soll doch der
das regeln oder? Für das bezahlst du ja Ist aber nur mein Senf ;)

Gruß

Ja prinzipiell schon allerdings ist es halt nur ein vServer und kein Managed vServer also ich bezweifle das die mir bei meinem Problem helfen können.
Normalerweise wäre es ja meine Aufgabe den Apache/vServer "sicher" einzurichten.
Die Anfrage habe ich aber jetzt trotzdem mal verschickt.

Danke und Gruß
Bitte warten ..
Mitglied: kekzle
24.08.2011 um 15:42 Uhr
Hi,

eventuell hilft dir mod_spamhaus weiter, das ist ein kleines Apache Modul mit einer Blacklist für solche Gesellen. Bei einigen Distributionen ist es sogar schon dabei (z.b. Ubuntu) und muss nur nachinstalliert werden.



Grüße Kekzle
Bitte warten ..
Mitglied: SlainteMhath
24.08.2011 um 15:47 Uhr
Moin,

da versucht wohl jemand dich (oder deine Logfile-Auswertungs Software) dazu zu bringen auf die per GET abgesetzten URLs zu locken. Entweder um dort Clicks zu erzeugen, oder um dir einen Trojaner unterzuschieben (GET Anfragen an den Server werden OHNE http:// und domain gestellt, also etwa GET /index.php).

Wehren kannst Du dich imo dagegen nur schwer, die Anfragen werden ja kaum immer von der/den gleichen IP(s) kommen. Was ggfs hilft ist deine 404er Seite auf ein Minimum zu beschränken um den Traffic möglichst niedrig zu halten.

lg,
Slainte
Bitte warten ..
Mitglied: Balgam
24.08.2011 um 18:35 Uhr
Hi,
also habe jetzt mal versucht mod_spamhaus anhand dieser: http://www.howtoforge.com/how-to-block-spammers-with-apache2-mod_spamha ... Anleitung einzurichten.
Weiss aber noch nicht ob es funktioniert hat.

Was mich besonders beunruhigt ist der allein Heute eingehende Traffic von 134MB und ausgehende Traffic von 500MB.
Wie kann das sein? Was macht der Apache mit den Anfragen?

Hier mal mein VHost evtl. seht ihr ja auch dort einen Fehler
01.
NameVirtualHost meineadresse.de:80
02.

03.
<VirtualHost meineadresse.de:80>
04.
        ServerAdmin admin@meineadresse.de
05.
        ServerName www.meineadresse.de
06.

07.
        DocumentRoot /usr/local/apache-tomcat-7.0.16/webapps/MySite/
08.
        ErrorLog /var/log/tomcat/MySite_error-log
09.
        CustomLog /var/log/tomcat/MySite_access-log combined
10.

11.
        Options +FollowSymLinks +Includes
12.

13.
        #RewriteRule    .*                    -              [L]
14.

15.
        ProxyRequests        on
16.

17.
        rewriteengine on
18.

19.
        RewriteCond %{HTTP_HOST} !^www\.meineadresse\.de [NC]
20.
        RewriteCond %{HTTP_HOST} !^$
21.
        RewriteRule ^/(.*)       http://www.meineadresse.de/$1 [L,R]
22.

23.
        # Reverse Proxy
24.
        ProxyPass / http://meineadresse:8080/MySite/
25.
        ProxyPassReverse  /  http://meineadresse.de:8080/
26.
        ProxyPassReverseCookiePath /MySite /
27.

28.
        <Directory /usr/local/apache-tomcat-7.0.16/webapps/MySite/>
29.
                Options Indexes FollowSymLinks MultiViews
30.
                AllowOverride None
31.
                Order allow,deny
32.
                allow from all
33.
        </Directory>
34.
 </VirtualHost>
Da die Anfragen offensichtlich auf meine IP gehen könnte man doch evtl. einfach eine 404 vom Apache liefern lassen.
Allerdings weiss ich nicht wie. Villeicht kann mir ja jmd. von euch dabei helfen.

EDIT:
Derzeit wird man wenn man direkt über die IP kommt auf die Domain umgeleitet. Weiss allerdings selbst gerade nicht genau warum :D
Der Support meine nur das Sie leider nichts machen können aber das ich es mit Filterregeln oder IPTables versuchen soll.


Danke und Gruß
Bitte warten ..
Mitglied: nxclass
25.08.2011 um 00:11 Uhr
schau dir mal fail2ban an - musst dir nur einen Filter für dein Apache log anlegen und schon werden die IPs je nach Einstellung für eine gewisse zeit gesperrt.
Bitte warten ..
Mitglied: Balgam
25.08.2011 um 09:06 Uhr
Moin,
danke hab jetzt mal folgenden Link gefunden http://www.howtoforge.de/anleitung/verhindern-von-brute-force-attacks-m ...
Wäre das das richtige für mich?

Danke und Gruß
Bitte warten ..
Mitglied: SlainteMhath
25.08.2011 um 11:25 Uhr
Jetzt seh ich's erst...
01.
ProxyRequests        on 
Das ist imo keine so gute idee. Damit machst Du Deinen Server zu einem offenen Proxy - das willst Du sicher nicht Das erklärt dann auch die GET's im vollständigen URLs

Apache.org meine dazu: (Quelle http://httpd.apache.org/docs/2.1/mod/mod_proxy.html#proxyrequests )
Do not enable proxying with ProxyRequests until you have secured your server. Open proxy servers are dangerous both to your network and to the Internet at large.
Bitte warten ..
Mitglied: Balgam
25.08.2011 um 12:51 Uhr
Hi,
also ich hab jetzt fail2ban mit apache_proxy aktiviert und konfiguriert mittels einer Wiki Anleitung und es scheint auch zu funktionieren.
Zumindest wurden schon einige IPs gebannt.
ProxyRequests habe ich jetzt auf off gestellt. Sieht auch soweit ganz gut aus es kommen noch wenige vereinzelte Anfragen.
Mal abwarten wie es weitergeht.

Auf jeden Fall schonmal ein großes Danke

Gruß
Bitte warten ..
Ähnliche Inhalte
Hyper-V

VHost Domänenbeitritt und Administration

Frage von JudgeDreddHyper-V7 Kommentare

Hallo Zusammen, überwiegend zu Lernzwecken, habe ich mich entschlossen, im privaten Umfeld einen vHost aufzusetzen. Aufgrund der besseren Hardwareunterstützung ...

Apache Server

APache Weiterleitung SSL über VHOST

Frage von PasterApache Server7 Kommentare

Hallo zusammen, ich habe ein Problem, da mein Code nicht funktioniert: Ich möchte gerne dass folgende Adressen alle weitergeleitet ...

Apache Server

Apache conf einem vhost zu ordnen

Frage von Phill93Apache Server3 Kommentare

Hallo, ich hab hier eine Software die sich auf einem Debian 8 eine conf im /etc/apache2/config-aviable angelegt hat. Jetzt ...

Apache Server

Froxlor Apache 2 - IP has no vHost

gelöst Frage von NintoxApache Server1 Kommentar

Hallo zusammen, ich hab ein kleines Problem. Nach dem ich versucht habe, über vHost-Einträge unter /site-available bzw. direkt in ...

Neue Wissensbeiträge
Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 1 TagFirewall1 Kommentar

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 2 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 2 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Google Android
Facebooks unsichtbare Datensammlung
Information von AnkhMorpork vor 2 TagenGoogle Android3 Kommentare

Rund 30 Prozent aller Apps im Play-Store nehmen Kontakt zu Facebook auf, sobald man sie startet. So erfährt der ...

Heiß diskutierte Inhalte
Linux Userverwaltung
LogIn Versuche beschränken auf EINEN Versuch
gelöst Frage von GarroshLinux Userverwaltung23 Kommentare

Folgendes Problem Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk. ...

Backup
Wo installiert man Veeam bei SoHo?
Frage von EDVMan27Backup14 Kommentare

Hallo, nachdem ich die neue Veeam CE bei mir getestet habe, wollte ich es einmal bei einem Kunden testen. ...

Batch & Shell
Tasklist überprüfen
Frage von IleiesBatch & Shell10 Kommentare

Hallo zusammen, Wie kann ich in Batch überprüfen, ob gerade der Prozess "Skype.exe" ausgeführt wird? Also nicht so dass ...

Backup
Sicherung auf externe RDX Festplatten (oder auf USB 3.0) mit Veeam Agent for Microsoft
gelöst Frage von mike7050Backup9 Kommentare

Hallo, ich sichere immer auf RDX Wechselfestplatten mit der Accuguard Software. Gesichert wird eine Windows Server 2008 R2. Einmal ...