Apache2 flood

Debian GNU/Linux

Sziasztok!

Tudnátok ebben segíteni:
Különbőző IP címről floodolják a szerverem erre keresek megoldást.
Ez a két filet keresik rajtam: z_w_reg.php u_new_reg.php amik nem is léteznek

apache2 access.log:
89.78.172.53 - - [24/Jul/2013:23:50:58 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
46.211.100.17 - - [24/Jul/2013:23:51:54 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
190.248.28.139 - - [24/Jul/2013:23:51:52 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
210.230.107.68 - - [24/Jul/2013:23:52:04 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
78.152.161.136 - - [24/Jul/2013:23:52:11 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
178.159.212.254 - - [24/Jul/2013:23:52:17 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
176.57.59.141 - - [24/Jul/2013:23:52:18 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
64.40.147.71 - - [24/Jul/2013:23:52:21 +0200] "POST /u_new_reg.php HTTP/1.1" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
188.191.47.131 - - [24/Jul/2013:23:53:18 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
88.135.239.72 - - [24/Jul/2013:23:53:53 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
46.172.242.233 - - [24/Jul/2013:23:54:46 +0200] "POST /z_w_reg.php HTTP/1.0" 400 - "-" "Mozilla/3.0 (compatible; Indy Library)"
91.228.34.3 - - [24/Jul/2013:23:55:52 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
122.177.220.79 - - [25/Jul/2013:00:10:53 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
93.125.37.36 - - [25/Jul/2013:00:10:56 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"

  • 5079 megtekintés

( lavian v | 2013. 07. 25., cs – 06:13 )

fail2ban
De ha ennyire követhető a kliens(ek) akkor egy grep+awk+iptables (logtail+iptables) script is megteszi időnként frissítve.
A két file, amit keresnek, kiválóan szűrhető.

( Fisher v | 2013. 07. 25., cs – 07:32 )

Ez nem flood :) Mindössze scriptekkel keresgélnek rajta, ne törődj vele, hanem tartsd rendben a gépet.

( Proci85 v | 2013. 07. 25., cs – 09:22 )

Sok IP-re nem jó, de ha 1 tér vissza néhányszor, arra: apache mod_evasive

( zentus | 2013. 07. 25., cs – 09:27 )

Kinek milyen megoldásai vagy ötletei vannek ez ellen? (Csak kíváncsiskodom:) )

( Swifty v | 2013. 07. 25., cs – 10:11 )

Azért az Indy Library mond valamit... Persze csak ha nem fake... De feltűnő... :D
--
Debian Linux rulez... :D

( andrej_ v | 2013. 07. 25., cs – 10:14 )

Azt is megnézném, hogy a saját IP-re érkeznek a kérések, mert fordult már elő a világtörténelemben olyan, hogy idegen IP forgalmát kaptuk meg. Tűzfallal érdemes csak a saját IP(k)-re érkező forgalmat beereszteni.

Már nem tudom milyen OS (Linux 2.4 vagy FreeBSD 4.x) volt a gépen de elfogadta, jöttek szépen a kérések a 80-as portra.

Ez kb. 8 éve történt, de megtörtént, akármennyire is hihetetlen. :)

A kérdező szempontjából szerintem teljesen mind1, mi okozza a dolgot, épp ezért írtam egy tippet. Abból biztos nem lesz baja, ha ellenőrzi, mert a drót túlvégén történhet bármi.