Hálózati támadás? vagy mi?

Linux-kezdő

Hi!

Egy olyan kérdésem lenne, hogy megnéztem az apache error, és access logokat a gépemen, mert észre vettem hogy igen csak megnövekedett az elmúlt 2 napban. Nos a következőt találtam benne:

error.log:

[Tue Jan 27 04:42:29 2009] [error] [client ***.***.***.***] File does not exist: /home/user/userwww/akarmi

és ez másodpercenként ismétlődött az elmúlt 3 napban.

access.log

***.***.***.*** - - [27/Jan/2009:04:44:29 +0100] "GET /akarmi/amit/kiir/nekem.php HTTP/1.0" 404 307 "-" "Lynx/2.8.5rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/1.4.4"

és ennél is ugyan az a helyzet, ismétlődött az elmúlt három napban, és még jelenleg is tart.

Az ip-t kicsillagoztam és a könyvtárak/fájlok nevét megváltoztattam

Ez felfogható hálózati támadásnak, esetleg "spambotnak" vagy nem is tudom hogyan nevezzem?

Esetleg valaki tud valami megoldást, hogy bannolni tudjam?

Köszi előre is!
Üdv!

  • 1611 megtekintés

( gaabeesz | 2009. 01. 27., k – 06:43 )

elvileg sikerült bannolnom méghozzá

iptables-be

-I INPUT -s ***.***.***.*** -j DROP

De érdekelne, hogy ez mindenk minősül, hogy 2 napja másodpercenként keres valaki valamit az én gépemen?

Az a dúrva, hogy most indítottam saját szervergépet, és eljöttem egy szolgáltatótól. És amint közzétettem az ip-t, rá 3 órára jött az első, és azóta másodpercenként volt ez. Na most az ip, amit nem tettem közzé, az megegyezik a volt szolgáltatóm egyik gépének az ip címe. Úgyhogy még a mai nap folyamán fel fogom hívni és kérdőre vonni. /egyébként biztos azért próbálkozik, mert azt hiszi elloptam az ő ügyfél felületét, mert olyan fájlokat keresett a gépen./

Debian lenny * Asus P5QC IC2Q6600 @ 3.61 GHz 1604FSB * 8Gb DDR2 1336Hz * 2x Seagate 640Gb 32Mb SataII

Szia
Biztos nem jószándékú a dolog.

Fail2ban -t javaslom, vagy valami hasonló logparsert.
Nekem működik, igaz ssh-ra meg ftp-re. http://www.fail2ban.org/
Ugyanazt csinálja automatikusan, amit te kézzel: kitiltja IPTables-ből aki sok errort csinál.

Megadod neki, hogy melyik logfájlban mit keressen.
Mondjuk ha valahonnan 5nél több ilyen kérés jön, akkor kitiltja a próbálkozó IP-jét 10 percre.
Komolyabb támadást nem tudom, mennyire véd ki, de az ilyen random próbálkozók kedvét el lehet venni vele.

Üdv

( eax | 2009. 01. 27., k – 11:40 )

Ha mind 404, akkor ne aggodj miatta, vak probalkozas; bar lenyegesen okosabbak lennenk, ha nem valtoztattad volna meg a konyvtarak/fileok nevet.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!