Apache - seltsame Zugriffe mit iptables bannen

03/03/2012 - 23:39 von Clemens Schueller | Report spam
Hallo!

Ich finde im Log vom Apache immer wieder seltsame Zugriffe:


+-
| loft6295.serverloft.com - - [03/Mar/2012:16:33:43 +0100] "GET http://toolbarqueries.google.com/tb...amp;q=info:salonsuccessprogram.com
| &num0&filter=0 HTTP/1.1" 200 518 "-" "Mozilla/4.0 (compatible; GoogleToolbar 2.0.114-big; Windows XP 5.1)"
| loft6295.serverloft.com - - [03/Mar/2012:16:35:33 +0100] "GET http://toolbarqueries.google.com/tb...amp;q=info:http%3A%2F%2Fhandmadeq
| uade.com%2Fauthor%2Fquadehandmade%2Fpage%2F3%2F&num0&filter=0 HTTP/1.1" 200 518 "-" "Mozilla/4.0 (compatible; GoogleToolbar 2.0.114-big; Windows XP 5.1)"
| loft6295.serverloft.com - - [03/Mar/2012:16:36:42 +0100] "GET http://72.14.203.99/search?q=%22javon+thompson%22&num=1&hl=en&lr=&sa=N&as_qdr=all HTTP/1.0" 200 12390 "-" "Mozilla/4.0
| (compatible; MSIE 8.0; Windows NT 5.1; InfoPath.1)"
| loft6295.serverloft.com - - [03/Mar/2012:16:37:38 +0100] "GET http://74.125.224.80/search?q=%22gays+would%22&num=1&hl=en&lr=&sa=N&as_qdr=all HTTP/1.0" 200 13693 "-" "Mozilla/4.0 (c
| ompatible; MSIE 8.0; Windows NT 5.1; InfoPath.1)"
| 31.44.184.245 - - [03/Mar/2012:16:37:37 +0100] "POST http://myinfo.any-request-allowed.c...et=get4354 HTTP/1.1" 200 1114 "-" "-"
| loft6295.serverloft.com - - [03/Mar/2012:16:37:51 +0100] "GET http://209.85.148.105/search?q=%22jesus-babble+girl%22&num=1&hl=en&lr=&sa=N&as_qdr=all HTTP/1.0" 200 12041 "-" "Mozill
| a/4.0 (compatible; MSIE 8.0; Windows NT 5.1; InfoPath.1)"
| 71.6.232.131 - - [03/Mar/2012:16:40:20 +0100] "GET http://www.google.com/search?hl=en&...=0&num&start=0 HTTP/1.1" 200
| 12072 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)"
| 31.44.184.245 - - [03/Mar/2012:16:42:37 +0100] "POST http://myinfo.any-request-allowed.c...et=get9619 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:16:47:35 +0100] "POST http://myinfo.any-request-allowed.c...et=get5429 HTTP/1.1" 200 1114 "-" "-"
| loft6295.serverloft.com - - [03/Mar/2012:16:50:21 +0100] "GET http://www.google.com/search?q=%22m...22&num &hl=en&lr=&sa=N&as_qdr=all HTTP/1.0" 200 16340 "-" "Mozilla/4.0 (c
| ompatible; MSIE 8.0; Windows NT 5.1; InfoPath.1)"
| 31.44.184.245 - - [03/Mar/2012:16:52:15 +0100] "POST http://myinfo.any-request-allowed.c...et=get7240 HTTP/1.1" 200 1114 "-" "-"
| 71.6.232.131 - - [03/Mar/2012:16:55:27 +0100] "GET http://toolbarqueries.google.com/tb...amp;q=info:unguz.blogdetik.com HTTP/1.1" 200 5
| 82 "-" "PEAR HTTP_Request class ( http://pear.php.net/ )"
| 31.44.184.245 - - [03/Mar/2012:16:57:05 +0100] "POST http://myinfo.any-request-allowed.c...et=get2755 HTTP/1.1" 200 1114 "-" "-"
| loft6295.serverloft.com - - [03/Mar/2012:16:57:30 +0100] "GET http://search.yahoo.com/search?p=%2...TF-8&n0 HTTP/1.0" 200
| 33378 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; InfoPath.1)"
| 31.44.184.245 - - [03/Mar/2012:17:02:00 +0100] "POST http://myinfo.any-request-allowed.c...et=get3567 HTTP/1.1" 200 1114 "-" "-"
| loft6295.serverloft.com - - [03/Mar/2012:17:03:50 +0100] "GET http://www.google.com/search?q=wince&num0&hl=en&lr=&sa=N&as_qdr=all HTTP/1.0" 200 31734 "-" "Mozilla/4.0 (compatibl
| e; MSIE 8.0; Windows NT 5.1; InfoPath.1)"
| loft6295.serverloft.com - - [03/Mar/2012:17:04:05 +0100] "GET http://www.google.com/search?q=wince&num0&hl=en&lr=&start0&sa=N&as_qdr=all HTTP/1.0" 200 32256 "-" "Mozilla/4.0
| (compatible; MSIE 8.0; Windows NT 5.1; InfoPath.1)"
| 31.44.184.245 - - [03/Mar/2012:17:06:42 +0100] "POST http://myinfo.any-request-allowed.c...et=get3059 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:17:11:31 +0100] "POST http://myinfo.any-request-allowed.c...et=get1608 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:17:16:19 +0100] "POST http://myinfo.any-request-allowed.c...et=get2838 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:17:21:05 +0100] "POST http://myinfo.any-request-allowed.c...et=get4679 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:17:25:51 +0100] "POST http://myinfo.any-request-allowed.c...et=get6707 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:17:30:35 +0100] "POST http://myinfo.any-request-allowed.c...et=get8505 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:17:35:28 +0100] "POST http://myinfo.any-request-allowed.c...et=get8446 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:17:40:18 +0100] "POST http://myinfo.any-request-allowed.c...et=get8579 HTTP/1.1" 200 1114 "-" "-"
+-


Nun, es ist zu mühsam, die IPs mit iptables manuell zu bannen:

Jetzt hab ich folgendes gefunden:

+-
| iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
| iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 80 --hitcount 10 -j DROP
| iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -j REJECT --reject-with tcp-reset
|
| iptables -N syn_flood
| iptables -A INPUT -p tcp --syn -j syn_flood
| iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
| iptables -A syn_flood -j DROP
+-

Bei diesem Regelwerk besteht jetzt das Problem, dass auch auf die PCs im
internen Netzwerk gematcht wird. Was fehlt noch, damit die PCs aus dem
192.168.2.* er Netz von diesem Regelwerk ausgenommen werden?

Oder sollte die Sache ganz anders angegangen werden - wenn ja, wie?


Greetinx & Danke

Clemens Schueller
 

Lesen sie die antworten

#1 Andreas Kohlbach
04/03/2012 - 03:07 | Warnen spam
Clemens Schueller wrote on 03. March 2012:

Ich finde im Log vom Apache immer wieder seltsame Zugriffe:



Haben wir wohl alle.

[...]

| 31.44.184.245 - - [03/Mar/2012:16:42:37 +0100] "POST http://myinfo.any-request-allowed.c...et=get9619 HTTP/1.1" 200 1114 "-" "-"
| 31.44.184.245 - - [03/Mar/2012:16:47:35 +0100] "POST http://myinfo.any-request-allowed.c...et=get5429 HTTP/1.1" 200 1114 "-" "-"
| loft6295.serverloft.com - - [03/Mar/2012:16:50:21 +0100] "GET http://www.google.com/search?q=%22m...22&num &hl=en&lr=&sa=N&as_qdr=all HTTP/1.0" 200 16340 "-" "Mozilla/4.0 (c
| ompatible; MSIE 8.0; Windows NT 5.1; InfoPath.1)"
| 31.44.184.245 - - [03/Mar/2012:16:52:15 +0100] "POST http://myinfo.any-request-allowed.c...et=get7240 HTTP/1.1" 200 1114 "-" "-"
| 71.6.232.131 - - [03/Mar/2012:16:55:27 +0100] "GET http://toolbarqueries.google.com/tb...amp;q=info:unguz.blogdetik.com HTTP/1.1" 200 5



[...]

Nun, es ist zu mühsam, die IPs mit iptables manuell zu bannen:

Jetzt hab ich folgendes gefunden:

+-
| iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
| iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 80 --hitcount 10 -j DROP
| iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -j REJECT --reject-with tcp-reset
|
| iptables -N syn_flood
| iptables -A INPUT -p tcp --syn -j syn_flood
| iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
| iptables -A syn_flood -j DROP
+-

Bei diesem Regelwerk besteht jetzt das Problem, dass auch auf die PCs im
internen Netzwerk gematcht wird. Was fehlt noch, damit die PCs aus dem
192.168.2.* er Netz von diesem Regelwerk ausgenommen werden?

Oder sollte die Sache ganz anders angegangen werden - wenn ja, wie?



Ignorieren.

Oder, wenn man vielleicht etwas findet, was sich per Regex erschlagen
làsst, z.B. eine .htaccess für entsprechende Verzeichnisse (wohl gleich
Serverroot) erstellen

=order allow,deny
allow from all
deny from irgendwas
=
dass der Server selbst das ablehnt.

Aber wie gesagt, ich würde es ignorieren, davon ausgehend, dass du keine
offenen Proxies oder anderes hast, auf was die bösen Buben da testen.
Andreas
Linux: The choice of a GNU generation.

Ähnliche fragen