[HaBo]

Globestern

hi

im moment laufe leider massive Angriffe aus meinen Server und legen ihn komplett lahm... gemäss apache log sind es 1000ende verschiedene ips --> botnetz

leider nehmen die angriffe seit stunden nicht ab und ich bin ratlos..

hardwaremässig ist ein schutz auf so ne kurze zeit leider nicht möglich... vorallem nicht um diese zeit ^^

daher bräuchte ich etwas schnelles für den übergang... gibts da irgendwelche mod's für apache 2.2 die das ganze eindämmen können? leider hab ich nur mods für älter versionen gefunden und die ganzen ip's von hand zu adden ist schlicht unmöglich :(

mfg

Voodoo

Was meinst du denn mit "hardwaremäßig"?
Sonst würde ich dir empfehlen, eine kleine Filterregeln per iptables aufzusetzen, die die maximale Anzahl von Verbindungen pro Sekunde limitiert und alle anderen Anfragen verwirft. Ich kann dir nur mangels Praxiserfahrung eines solchen Angriffes nicht sagen, wie sich das auf die Systemlast auswirken wird, wenn eine so große Anzahl von Paketen durch den Paketfilter läuft, aber es ist immer noch die bessere Lösung, als jetzt eine Blacklist mit tausenden von IPs zu führen.

throjan

Deine Angaben sind leider etwas zu dürftig, um Dir konkrete Hilfstellungen zu geben. Als erstes musst Du den Angriff nach Gemeinsamkeiten untersuchen um überhaupt erstmal eine Ansatzmöglichkeit zur Sperrung zu bekommen. Nutzen die Bots evtl. einen identischen IP-Range, bestimmte Ports oder versuchen bestimmte Seiten aufzurufen?

Eventuell könnte Dein Problem dann schon mit iptables in Verbindung mit dem Modul mod_security (+Rulesets)lösbar sein.

Globestern

nein, ip ranges sind total verschiedene

aus asien / amerika kommen die angriffe..

port ist der http port 80

jop es ist immer die selbe seite (index.php)

maedmexx

Wie soll eine auf dem Server installierte Software verhindern, daß von außen Anfragen an den Server gestellt werden? Man kann lediglich dafür sorgen, daß der Server nicht mehr antwortet.

Wenn der Zugriff nur auf die IP geht, könnte es helfen, den ersten virtuellen Host zu entschlacken und damit das Responseverhalten zu optimieren. Eine andere (softwarebasierende) Lösung gibts da nicht.

Xalon

Was ist denn auf deiner seite zu sehen?
Ich glaub kaum das jemand aus Jux und Tollerei so ein Botnetz bemüht.

Xalon

jorey

sagst du..
wenn jemand eins hat oder weiß wo er eins findet... dann macht dieser jemand das auch mal einfach so =/ leider
aber das wird nun arg off topic, denn es geht ja darum wie er sich schützen kann und nicht warum die bots in DDoS'en oder whatever

Globestern

eine kinderporno seite neee natürlich nicht ^^ ich gebs ja zu es ist eine warezseite aber das hat ja hier nichts zur sache warscheindlihc ists irgend ein "Konkurent" der was gegen die seite hat :O

hast du mir da evtl. einen kleinen input oder ein how-to oder etwas in der art... ein stichwort wär mir auch schon recht dann kann ich googlen

2Bios

ich hab davon zwar kaum ahnung, aber wie wäre es, wenn du zwischen http-request und der antwort eine zeit von z.b. zwei sekunden verstreichen lässt? die meisten drohnen machen laut freund (hat sich die agobot-src angeschaut) nur einen request gleichzeitig, womit du weniger zugriffe über der zeit hast. damit kannst du zwar den angriff zwar nicht abwehren, aber der traffic nimmt leicht ab

für files würde ich sowieso vorschlagen, dass du captcha's oä einsetzt (und alle dateinamen und pfade etc ändern für den fall, dass files gezogen werden)

Globestern

hmm und wie mach ich das mit den 2sek.? ?(

gibts eigentlich keine mods für apache 2.2 zu diesem thema? alle die ich gefunden hab laufen nicht auf apache 2.2.