Apache2 flood

Fórumok

Sziasztok!

Tudnátok ebben segíteni:
Különbőző IP címről floodolják a szerverem erre keresek megoldást.
Ez a két filet keresik rajtam: z_w_reg.php u_new_reg.php amik nem is léteznek

apache2 access.log:
89.78.172.53 - - [24/Jul/2013:23:50:58 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
46.211.100.17 - - [24/Jul/2013:23:51:54 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
190.248.28.139 - - [24/Jul/2013:23:51:52 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
210.230.107.68 - - [24/Jul/2013:23:52:04 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
78.152.161.136 - - [24/Jul/2013:23:52:11 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
178.159.212.254 - - [24/Jul/2013:23:52:17 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
176.57.59.141 - - [24/Jul/2013:23:52:18 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
64.40.147.71 - - [24/Jul/2013:23:52:21 +0200] "POST /u_new_reg.php HTTP/1.1" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
188.191.47.131 - - [24/Jul/2013:23:53:18 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
88.135.239.72 - - [24/Jul/2013:23:53:53 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
46.172.242.233 - - [24/Jul/2013:23:54:46 +0200] "POST /z_w_reg.php HTTP/1.0" 400 - "-" "Mozilla/3.0 (compatible; Indy Library)"
91.228.34.3 - - [24/Jul/2013:23:55:52 +0200] "POST /u_new_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
122.177.220.79 - - [25/Jul/2013:00:10:53 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"
93.125.37.36 - - [25/Jul/2013:00:10:56 +0200] "POST /z_w_reg.php HTTP/1.0" 404 - "-" "Mozilla/3.0 (compatible; Indy Library)"

Hozzászólások

fail2ban
De ha ennyire követhető a kliens(ek) akkor egy grep+awk+iptables (logtail+iptables) script is megteszi időnként frissítve.
A két file, amit keresnek, kiválóan szűrhető.

Ez nem flood :) Mindössze scriptekkel keresgélnek rajta, ne törődj vele, hanem tartsd rendben a gépet.

Sok IP-re nem jó, de ha 1 tér vissza néhányszor, arra: apache mod_evasive

Kinek milyen megoldásai vagy ötletei vannek ez ellen? (Csak kíváncsiskodom:) )

Azért az Indy Library mond valamit... Persze csak ha nem fake... De feltűnő... :D
--
Debian Linux rulez... :D

Azt is megnézném, hogy a saját IP-re érkeznek a kérések, mert fordult már elő a világtörténelemben olyan, hogy idegen IP forgalmát kaptuk meg. Tűzfallal érdemes csak a saját IP(k)-re érkező forgalmat beereszteni.

Nem mi konfiguráltuk és valszin elírták az IP-t amire routolták a problémásat. :) Minden esetre gyorsan javították anno. Egy kellőképp megőrült switch fw is csodákra képes, bár inkább fordított azaz nem minden vagy semmilyen csomag nem megy sehova probléma volt.

Már nem tudom milyen OS (Linux 2.4 vagy FreeBSD 4.x) volt a gépen de elfogadta, jöttek szépen a kérések a 80-as portra.

Ez kb. 8 éve történt, de megtörtént, akármennyire is hihetetlen. :)

A kérdező szempontjából szerintem teljesen mind1, mi okozza a dolgot, épp ezért írtam egy tippet. Abból biztos nem lesz baja, ha ellenőrzi, mert a drót túlvégén történhet bármi.