Sziasztok!
Tudnátok ebben segíteni:
Különbőző IP címről floodolják a szerverem erre keresek megoldást.
Ez a két filet keresik rajtam: z_w_reg.php u_new_reg.php amik nem is léteznek
apache2 access.log:
89.78.172.53 - - [24/Jul/2013:23:50:58 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
46.211.100.17 - - [24/Jul/2013:23:51:54 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
190.248.28.139 - - [24/Jul/2013:23:51:52 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
210.230.107.68 - - [24/Jul/2013:23:52:04 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
78.152.161.136 - - [24/Jul/2013:23:52:11 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
178.159.212.254 - - [24/Jul/2013:23:52:17 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
176.57.59.141 - - [24/Jul/2013:23:52:18 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
64.40.147.71 - - [24/Jul/2013:23:52:21 +0200] "POST /u_new_reg.php HTTP/1.1" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
188.191.47.131 - - [24/Jul/2013:23:53:18 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
88.135.239.72 - - [24/Jul/2013:23:53:53 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
46.172.242.233 - - [24/Jul/2013:23:54:46 +0200] "POST /z_w_reg.php HTTP/1.0" 400 - "-" "Mozilla/3.0 (compatible; Indy Library)"
91.228.34.3 - - [24/Jul/2013:23:55:52 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
122.177.220.79 - - [25/Jul/2013:00:10:53 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
93.125.37.36 - - [25/Jul/2013:00:10:56 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
Hozzászólások
fail2ban
De ha ennyire követhető a kliens(ek) akkor egy grep+awk+iptables (logtail+iptables) script is megteszi időnként frissítve.
A két file, amit keresnek, kiválóan szűrhető.
Ez nem flood :) Mindössze scriptekkel keresgélnek rajta, ne törődj vele, hanem tartsd rendben a gépet.
Köszi
Csak éjjel kiguvadt a szemem és nem gondolkodtam:)
Már rájöttem mi a gond:)
És köszönöm az awk+iptables megoldást is!
Sok IP-re nem jó, de ha 1 tér vissza néhányszor, arra: apache mod_evasive
Kinek milyen megoldásai vagy ötletei vannek ez ellen? (Csak kíváncsiskodom:) )
Azért az Indy Library mond valamit... Persze csak ha nem fake... De feltűnő... :D
--
Debian Linux rulez... :D
Azt is megnézném, hogy a saját IP-re érkeznek a kérések, mert fordult már elő a világtörténelemben olyan, hogy idegen IP forgalmát kaptuk meg. Tűzfallal érdemes csak a saját IP(k)-re érkező forgalmat beereszteni.
Na most azért mesélj arról, hogy egy "jól" konfigurált rendszerben hogyan kapsz meg "normál esetben" más IP címekre címzett csomagokat?
--
Debian Linux rulez... :D
Rosszul konfigurált router miatt. Sose tudhatod, hogy mi van a kábel másik végén :D
Nem mi konfiguráltuk és valszin elírták az IP-t amire routolták a problémásat. :) Minden esetre gyorsan javították anno. Egy kellőképp megőrült switch fw is csodákra képes, bár inkább fordított azaz nem minden vagy semmilyen csomag nem megy sehova probléma volt.
Má' bocs, de azért ez nem a jól konfigurált eset...
Feltételezem, eddig ment a kérdező rendszere...
Mellesleg egy gép IP stack-je nem szokott csak úgy elfogadni más IP címekre érkező csomagokat... Még a HUB-os korszakban sem....
--
Debian Linux rulez... :D
Már nem tudom milyen OS (Linux 2.4 vagy FreeBSD 4.x) volt a gépen de elfogadta, jöttek szépen a kérések a 80-as portra.
Ez kb. 8 éve történt, de megtörtént, akármennyire is hihetetlen. :)
A kérdező szempontjából szerintem teljesen mind1, mi okozza a dolgot, épp ezért írtam egy tippet. Abból biztos nem lesz baja, ha ellenőrzi, mert a drót túlvégén történhet bármi.