Webserver Attacke aus China

  • Mein Linux Server wird derzeit massiv aus China attackiert, über 100 offene Verbindungen zwingen meinen VServer langsam in
    die Knie. Scheint irgendein Botnetz zu ein, verschiedene IPs.


    Was kann ich dagegen tun, außer meinen Webserver vorrübergehend still zu legen?


    EDIT: Wenn ich Apache starte und wieder stoppe sind die Bots sofort wieder verbunden. Könnt ja hergehen und IPs sperren,
    aber soviele wie das sind....

    - VDR: Thermaltake DH 102 mit 7" TouchTFT * Debian Jessie/vdr-2.1.8/graphtft/MainMenuHooks-Patch * Intel Pentium G3220 * DH87RL * Zotac GT630 * 1 TB System HDD * 4 GB Corsair Vegance * Harmony 900 (39-44W) * satip-Plugin
    - Server: Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von TheChief ()

  • hast du am vserver linux druff


    köntest mit

    Zitat

    apachetop -d 1 -q -p -f /var/log/apache2/xxxxxxxxx/*.log


    mal schauen auf welche dateien die bots zugreifen
    und nur diese evtl. tempororär entfernen/umbenennen


    oder versuchen die nen ssh /telnet login??

  • Hi Chief!


    Vielleicht kann Dir das Tool fail2ban weiterhelfen. Hat bei mir auch schon so manche Angreifer automatisch ausgesperrt.


    http://www.fail2ban.org/wiki/index.php/Main_Page


    Gruß,


    Rasczak

    VDR 1.7.19 + ExtP-NG V6, Debian Squeeze, 2.6.32-5-686-bigmem Kernel, libxine 1.2, NVIDIA 290.10, ASUS M3N78-EM,
    AMD Athlon II X2 240e, 8 GB RAM, NVIDIA GeForce 8300 onboard, TechnoTrend S2-1600, picoPSU, 40 GB SSD

    Mein Skin: http://anthra.uk.to

  • Danke für die Antworten. SSH hab ich mittels denyhosts schon abgesichert, aber fail2ban schau
    ich mir mal an. Geht mir echt auf den zeiger, seit Tagen lahmt mein Server und ich dachte, es liegt
    an einem Projekt, was ich gerade mache. Stattdessen die Chinesen wieder.


    apachetop -d 1 -q -p -f /var/log/apache2/xxxxxxxxx/*.log


    Das gibt mir irgendwelche URLs in Massen aus, die ich nicht kenne?! We ist das zu verstehen?


    Mal ein Auszug aus der access.log, welche mittlerweile 3GB gross ist.


    - VDR: Thermaltake DH 102 mit 7" TouchTFT * Debian Jessie/vdr-2.1.8/graphtft/MainMenuHooks-Patch * Intel Pentium G3220 * DH87RL * Zotac GT630 * 1 TB System HDD * 4 GB Corsair Vegance * Harmony 900 (39-44W) * satip-Plugin
    - Server: Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von TheChief ()

  • DOS-Versuch? DNS-Server Problem der Chinesen?

    yaVDR-Dokumentation (Ceterum censeo enchiridia esse lectitanda.)

  • Keine Ahnung, was das ist.


    Wie muss denn die fail2ban Regel aussehen, um das abzuwehren?


    Kann das eventuell an mod_proxy liegen? Quasi, dass mein Server als Proxy missbraucht wird?

    - VDR: Thermaltake DH 102 mit 7" TouchTFT * Debian Jessie/vdr-2.1.8/graphtft/MainMenuHooks-Patch * Intel Pentium G3220 * DH87RL * Zotac GT630 * 1 TB System HDD * 4 GB Corsair Vegance * Harmony 900 (39-44W) * satip-Plugin
    - Server: Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von TheChief ()

  • Kann das eventuell an mod_proxy liegen? Quasi, dass mein Server als Proxy missbraucht wird?


    Wäre eine Erklärung für die ganzen Requests auf Domains, die sicher nicht alle auf Deinem
    Server gehostet sind. Kämen die aufgrund falscher DNS-Einträge zu Dir, würde Dein Apache
    dann kaum mit 200er oder 300er Status-Codes antworten.
    Ich sehe da ein bedenkliches Problem auf Deinem Server.

    Mein VDR: OrigenAE/Amisos X15e, ASUS A68HM-K A68H FM2+ mATX, AMD A4 5300, 4 GB DDR3, WD Green 1 TB, Nvidia GT 230 PCIe, TechnoTrend C-1501, 7" TFT (GraphTFT, ohne Touch), irtrans-Empfänger + Harmony 300i, yaVDR 0.6.1, 24" PC-Monitor als Fernseher, 2.1 Boxen-Set Edifier C2 rev2, Kabelprovider Wilhelm Tell (ohne Grundverschlüsselung), 8.5 TB extern (USB) für Serien und Filme.
    Hinweis für Allergiker: Dieser Beitrag kann Spuren von Nüssen enthalten.

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von KlausiHH ()

  • Ich nutze mod_proxy um auf meinem Server intern von besipielsweise Port 80 auf 81 weiterzuleiten (ProxyPass/ProxyPassReverse). Jetz wäre natürlich die Frage, wie ich andere Proxy Anfragen
    deaktivieren kann?! Eventuell "ProxyVia Off"?


    Im Moment läuft fail2ban und blockt feißig alle Proxy-Anfragen. Ich will aber nicht das Symptom behandeln sondern die Ursache.

    - VDR: Thermaltake DH 102 mit 7" TouchTFT * Debian Jessie/vdr-2.1.8/graphtft/MainMenuHooks-Patch * Intel Pentium G3220 * DH87RL * Zotac GT630 * 1 TB System HDD * 4 GB Corsair Vegance * Harmony 900 (39-44W) * satip-Plugin
    - Server: Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

  • Mein VDR: OrigenAE/Amisos X15e, ASUS A68HM-K A68H FM2+ mATX, AMD A4 5300, 4 GB DDR3, WD Green 1 TB, Nvidia GT 230 PCIe, TechnoTrend C-1501, 7" TFT (GraphTFT, ohne Touch), irtrans-Empfänger + Harmony 300i, yaVDR 0.6.1, 24" PC-Monitor als Fernseher, 2.1 Boxen-Set Edifier C2 rev2, Kabelprovider Wilhelm Tell (ohne Grundverschlüsselung), 8.5 TB extern (USB) für Serien und Filme.
    Hinweis für Allergiker: Dieser Beitrag kann Spuren von Nüssen enthalten.

  • Auf der gleichen Seite war ich auch gerade. Ich glaube mein Problem war aber:


    ProxyRequests On <= Das sollte in meinem Fall wohl auf "Off" stehen.


    Werds mal beobachten.

    - VDR: Thermaltake DH 102 mit 7" TouchTFT * Debian Jessie/vdr-2.1.8/graphtft/MainMenuHooks-Patch * Intel Pentium G3220 * DH87RL * Zotac GT630 * 1 TB System HDD * 4 GB Corsair Vegance * Harmony 900 (39-44W) * satip-Plugin
    - Server: Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB