PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Angriffe auf SWiSHZone.de



Wildthinks
26.12.2004, 15:58
Hallo,

seit gestern abend werde ich systematisch und massiv auf dem Server angegriffen. Dabei wird explizit das Vbulletin mit Anfragen (völlig abwegige Hosts...) systematisch in die Knie gezwungen.

Ich habe mittlerweile ca. 5-10 Anfragen pro Sekunde auf das Forum verzeichnet.
Wenn ich das Forum offline nehme geht auch schlagartig der Traffic zurück und es wird auch nicht über die index.php mehr Besucher geleitet.

Daher habe ich das Forum vom Netz genommen. Meine anderen Seiten sind davon nicht betroffen.

Hat jemand schon etwas ähnliches erlebt? Das scheint eine gezielte DDOS - Attacke zu sein.
Dabei wundert mich eigentlich nur, dass die Clients immer mehr werden, wenn das Forum da ist und vor allem in extrem hoher Frequenz Seiten abrufen. Eigentlich dachte ich immer, dass der Server einfach mit Anfragen solagen überschüttet wird, bis nichts mehr geht.

Grüße Tom
PS: PHP Version 4.3.10 ist drauf...daher kann der Scriptwurm hier wohl (hoffentlich nicht viel machen).

AlphaWolf
26.12.2004, 16:03
Vielleicht ist das ja sogar dieser Sciptwurm, der dein Forum bomadiert. Dabei ist ja egal ob er reinkommt oder nicht. Er scheint es ja zumindestens zu versuchen.

red_head
26.12.2004, 16:07
Es gibt ja einen neuen Wurm :(
http://www.heise.de/security/news/meldung/54623
Der ist voll übel :(
Der sucht nach Sicherheitslücken, daher die vielen Anfragen.

Gruß red_head

Sascha
26.12.2004, 21:30
Für den Wurm in der zitierten Heise-Meldung gibt es eine einfache Abwehr. Einfach den nachfolgenden Code in eine .htaccess und es ist Ruhe.



SetEnvIfNoCase User-Agent ".*lwp.*" spambot=1

<Limit GET POST PUT>
Order allow,deny
deny from env=spambot
allow from all
</Limit>

Metro Man
26.12.2004, 21:40
Für den Wurm in der zitierten Heise-Meldung gibt es eine einfache Abwehr. Einfach den nachfolgenden Code in eine .htaccess und es ist Ruhe.



SetEnvIfNoCase User-Agent ".*lwp.*" spambot=1

<Limit GET POST PUT>
Order allow,deny
deny from env=spambot
allow from all
</Limit>


sperrt das nur den einen bot aus oder alle wie zb auch spider von google

Sascha
26.12.2004, 21:50
sperrt das nur den einen bot aus oder alle wie zb auch spider von google

Das sperrt nur den Wurm aus. Alle anderen können wie immer auf die Webseite zugreifen.

Metro Man
26.12.2004, 21:52
Danke

Wildthinks
26.12.2004, 22:19
Danke!

Silmarillion
27.12.2004, 10:54
*maldummmfrage*

Reicht es eigentlich besagten Code in eine bereits bestehende htaccess zu packen (ans Ende) oder muss hierfür eine neue htaccess erstellt werden?

mfg

Sascha
27.12.2004, 11:03
Einfach in die bestehende htaccess schreiben.

h75
27.12.2004, 11:29
Wie willste auch ne 2.te erstellen? Ist doch bloss eine in jede Verzeichnis erlaubt ;)

Silmarillion
27.12.2004, 11:34
@ Sascha und h75:

Thx! Wieder was gelernt! :)

mfg

ugr|dual
16.01.2005, 00:23
Hallo,
Ich habe mittlerweile ca. 5-10 Anfragen pro Sekunde auf das Forum verzeichnet.


wie hast du das gemessen und was genau meinst du mit anfrage? 5-10 requests einer seite am webserver pro sekunde sind nicht sehr viel.



Hat jemand schon etwas ähnliches erlebt? Das scheint eine gezielte DDOS - Attacke zu sein.
Dabei wundert mich eigentlich nur, dass die Clients immer mehr werden, wenn das Forum da ist und vor allem in extrem hoher Frequenz Seiten abrufen. Eigentlich dachte ich immer, dass der Server einfach mit Anfragen solagen überschüttet wird, bis nichts mehr geht.


wenn du apache benutzt kannst du sowas recht gut stoppen indem du mod_dosevasive einsetzt. vorausgesetzt die angriffe zielen nicht auf teile deines servers ab, mit denen man schon durch relativ wenige seitenaufrufe den server erheblich belasten kann.