[Globestern]

hi

im moment laufe leider massive Angriffe aus meinen Server und legen ihn komplett lahm... gemäss apache log sind es 1000ende verschiedene ips --> botnetz

leider nehmen die angriffe seit stunden nicht ab und ich bin ratlos..

hardwaremässig ist ein schutz auf so ne kurze zeit leider nicht möglich... vorallem nicht um diese zeit ^^

daher bräuchte ich etwas schnelles für den übergang... gibts da irgendwelche mod's für apache 2.2 die das ganze eindämmen können? leider hab ich nur mods für älter versionen gefunden und die ganzen ip's von hand zu adden ist schlicht unmöglich

mfg

[Spezi]

Hy,

wenn der Server nicht so wichtig ist, kannst du ihn ja solange abschalten bzw. den entsprechenden Port von außen blocken.

[Globestern]

hi,

leider komplett unmöglich, da dass der webserver ist auf dem meine seite läuft.. port blockieren geht leider auch nciht, weil das ganze über den http port läuft (80)

greetz

[Spezi]

Viel mehr als die Seite offline zustellen kannst du in der kurzen Zeit nicht machen.

In der Zwischenzeit versuchen die Lücke zufinden durch die das passiert und wenn du weißt wie kannst du auch versuchen diese zuschließen bzw. diese Datei vorübergehend umbenennen.

Dieser Beitrag wurde von Spezi bearbeitet: 19. Juli 2006 - 23:13

[Globestern]

hmm lücke hab ich soweit ich weiss keine.. der apache wird halt einfach zugeflooded

mod_security bringt auch nichts weil ich apache 2.2 hab und der mod da nicht läuft

[Spezi]

Stimmt war gerade irgendwie auf dem "Botnetz=Lückenausnutzer"-Trip.

Ich bezweifle das dieser mod in deinem Fall etwas bringt, da der Server nur mit anfragen gefloodet wird, dabei aber keine sicherheits kritischen Funktionen des Servers ausgenutzt werden, somit also zwecklos.

Du kannst zwar bestimmte URLs mit dieser mod praktisch blocken, aber dann kannste auch gleich die Seite offline nehmen.

Naja viel machen kannst du in diesem Fall nicht, ausser den Provider darüber informieren.

[Globestern]

da fällt mir ein... die angriffe kommen alle von china / amerika.. jetzt könnt ich eigentlich theoretisch alle zugriffe die von ips die nicht aus dem deutschsprachigen raum stammen blocken? die frage ist nur wie ^^

edit: hab da was gefunden:

http://ip-to-country.webhosting.info/

nun jetzt müsste es halt alle ips in ne txt loggen die von übersee stammen und ich müsste den kack von hand blocken

Dieser Beitrag wurde von Globestern bearbeitet: 19. Juli 2006 - 23:45

[chrisx]

versuch neben mod_security mal noch mod_evasive und http://download.wavecon.de/ddos/ Weiss aber nicht, ob die mit Apache 2.2 funktionieren, musst du testen.
Speziell letzteres ist recht gut. Hilft aber natürlich nichts, wenn die IP-Adressen dauernd geändert werden (gefälscht bzw. riesengroßes Botnetz). Gegen normale Botnetze (unter 100.000 PCs) solltest du dich mit den 3 Mods aber wehren können

Dieser Beitrag wurde von chrisx bearbeitet: 20. Juli 2006 - 07:01

[Globestern]

läuft leider keiner der 2 mods unter apache 2.2