Webserver Attacke aus China

  • Mein Linux Server wird derzeit massiv aus China attackiert, über 100 offene Verbindungen zwingen meinen VServer langsam in
    die Knie. Scheint irgendein Botnetz zu ein, verschiedene IPs.


    Was kann ich dagegen tun, außer meinen Webserver vorrübergehend still zu legen?


    EDIT: Wenn ich Apache starte und wieder stoppe sind die Bots sofort wieder verbunden. Könnt ja hergehen und IPs sperren,
    aber soviele wie das sind....

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Einmal editiert, zuletzt von TheChief ()

  • hast du am vserver linux druff


    köntest mit

    Zitat

    apachetop -d 1 -q -p -f /var/log/apache2/xxxxxxxxx/*.log


    mal schauen auf welche dateien die bots zugreifen
    und nur diese evtl. tempororär entfernen/umbenennen


    oder versuchen die nen ssh /telnet login??

  • Danke für die Antworten. SSH hab ich mittels denyhosts schon abgesichert, aber fail2ban schau
    ich mir mal an. Geht mir echt auf den zeiger, seit Tagen lahmt mein Server und ich dachte, es liegt
    an einem Projekt, was ich gerade mache. Stattdessen die Chinesen wieder.


    apachetop -d 1 -q -p -f /var/log/apache2/xxxxxxxxx/*.log


    Das gibt mir irgendwelche URLs in Massen aus, die ich nicht kenne?! We ist das zu verstehen?


    Mal ein Auszug aus der access.log, welche mittlerweile 3GB gross ist.


    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Einmal editiert, zuletzt von TheChief ()

  • DOS-Versuch? DNS-Server Problem der Chinesen?

    yaVDR-Dokumentation (Ceterum censeo enchiridia esse lectitanda.)

  • Keine Ahnung, was das ist.


    Wie muss denn die fail2ban Regel aussehen, um das abzuwehren?


    Kann das eventuell an mod_proxy liegen? Quasi, dass mein Server als Proxy missbraucht wird?

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Einmal editiert, zuletzt von TheChief ()

  • Kann das eventuell an mod_proxy liegen? Quasi, dass mein Server als Proxy missbraucht wird?


    Wäre eine Erklärung für die ganzen Requests auf Domains, die sicher nicht alle auf Deinem
    Server gehostet sind. Kämen die aufgrund falscher DNS-Einträge zu Dir, würde Dein Apache
    dann kaum mit 200er oder 300er Status-Codes antworten.
    Ich sehe da ein bedenkliches Problem auf Deinem Server.

    Mein VDR: OrigenAE/Amisos X15e, ASUS A68HM-K A68H FM2+ mATX, AMD A4 5300, 4 GB DDR3, WD Green 1 TB, Nvidia GT 430 PCIe, KNC One DVB-C Karte, 7" TFT (GraphTFT, ohne Touch), irtrans-Empfänger + Harmony 300i, yaVDR 0.6.2, 32" Toshiba 32XV635D, 2.1 Boxen-Set Edifier C2 rev2, Kabelprovider Wilhelm Tell (ohne Grundverschlüsselung), 10 TB extern (USB) für Serien und Filme.
    Hinweis für Allergiker: Dieser Beitrag kann Spuren von Nüssen enthalten.

    Einmal editiert, zuletzt von KlausiHH ()

  • Ich nutze mod_proxy um auf meinem Server intern von besipielsweise Port 80 auf 81 weiterzuleiten (ProxyPass/ProxyPassReverse). Jetz wäre natürlich die Frage, wie ich andere Proxy Anfragen
    deaktivieren kann?! Eventuell "ProxyVia Off"?


    Im Moment läuft fail2ban und blockt feißig alle Proxy-Anfragen. Ich will aber nicht das Symptom behandeln sondern die Ursache.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

  • Mein VDR: OrigenAE/Amisos X15e, ASUS A68HM-K A68H FM2+ mATX, AMD A4 5300, 4 GB DDR3, WD Green 1 TB, Nvidia GT 430 PCIe, KNC One DVB-C Karte, 7" TFT (GraphTFT, ohne Touch), irtrans-Empfänger + Harmony 300i, yaVDR 0.6.2, 32" Toshiba 32XV635D, 2.1 Boxen-Set Edifier C2 rev2, Kabelprovider Wilhelm Tell (ohne Grundverschlüsselung), 10 TB extern (USB) für Serien und Filme.
    Hinweis für Allergiker: Dieser Beitrag kann Spuren von Nüssen enthalten.

  • Auf der gleichen Seite war ich auch gerade. Ich glaube mein Problem war aber:


    ProxyRequests On <= Das sollte in meinem Fall wohl auf "Off" stehen.


    Werds mal beobachten.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!