Nachdem in Dienstag und Mittwoch schon ein Angriff auf diesen Server stattgefunden hat, geht es seit gestern richtig heftig zur Sache. Freitag hat Strato den Server eine Weile vom Netz genommen, aber die Sache hat sich nicht beruhigt. Ich habe jetzt ca. 1.000 Rechner gezählt, die mit immer anderen Referer- und User-Agent-Angaben die Seiten Hauptseite abrufen. Hier eine Zeile aus dem Log.
121.54.54.45 - - [25/Nov/2012:00:05:43 +0100] "GET / HTTP/1.0" 403 1035 "k9bp0y0rh3.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
Die Angriffe führen dazu, dass der Speicher zu 90% und der Prozessor meist zu 90-95% ausgelastet ist. Ein kleines Gegenmittel habe ich schon gefunden, aber es bewirkt nur, dass das ausgehende Datenvolumen geringer wird. Ich habe leider noch keinen Weg gefunden, den apache2 zu überreden, gar nicht mehr zu antworten.
Ob mir iptables hilft, hab ich noch nicht richtig nachvollziehen können. Der Apache bringt den Rechner an den Anschlag, sobald ich ihn starte. Leider ist beim Strato VServer nicht die SuSEfirewall sondern andere Firewall aktiv. So ganz werde ich aus den iptables nicht schlau. Was laut Beschreibung funktionieren sollte, gibt Fehlermeldungen oder wirkt nicht. Da werde ich noch etwas probieren müssen.
Gute Nacht – Vielleicht kommt mir ja noch eine Idee.
Hier
http://deflate.medialayer.com/
gibt es ein hilfreiches Tool für dieses Problem.
Es erstellt im Minutentakt eine Liste der IP-Adressen die eine bestimmte Anzahl von Zugriffen überschreiten (einstellbar).
Es ist zwar eigentliche als Wrapper für den APF-Firewall gedacht, kann aber auch über ein simples Shellscript die iptables füttern.
Ich hoffe, das hilft.
Danke für den Tipp. Habe ihn leider zu spät gesehen.
So ein Script habe ich jetzt fertig. Ich nehme das access_log und netstat und muss noch einige Adressen whitelisten um mich nicht selbst abzuschießen.
Gute Nacht oder besser Guten Morgen.