[Postfixbuch-users] OT: tausende von HTTP Anfragen aus der ganzen Welt

Leo Unglaub leo.unglaub at gmx.at
Mi Jul 1 16:59:56 CEST 2009


Hallo !
Du eigentlich keine andere Möglichkeit als mit einem regex die 
IP-Adressen herauszufiltern und dann einfach per IPTABLES zu blocken. 
Damit solltest du ruhe haben. Andernfalls, falls der Rechner in einem 
Rechenzentrum steht melde denen die IP-Adressen. Gute Rechenzentren wie 
Hetzner gehen dem nach und greifen im Notfall auch ein.

Viele Grüße
Leo

Frank J. Dürring schrieb:
> Hallo zusammen,
>
> das ist hier wirklich sehr Off Topic, deshalb ggf. auch die Antworten 
> via PM.
>
> Seit ca. einer Woche bekommen wir tausende von HTTP Anfragen vor allem 
> aus Asien und Nordamerika, die von unserem internen Mail-Server 
> (wahrscheinlich Zufall) Werbebanner holen möchten.
>
> Hier ein Beispiel aus dem Logfile:
> 118.125.67.194 - - [01/Jul/2009:16:21:51 +0200] "GET 
> http://www.accessteams.com/proxyheader.php HTTP/1.0" 200 391 "-" 
> "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
> 69.162.80.194 - - [01/Jul/2009:16:21:51 +0200] "GET 
> http://ad.adserverplus.com/st?ad_type=iframe&ad_size=728x90&section=628065 HTTP/1.0" 
> 200 391 "http://www.jointhecteam.com" "Mozilla/4.0 (compatible; MSIE 
> 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)"
> 69.162.80.194 - - [01/Jul/2009:16:21:52 +0200] "GET 
> http://ad.zanox.com/ppv/?12649126C2051709508 HTTP/1.0" 200 391 
> "http://ad.adserverplus.com/st?ad_type=iframe&ad_size=728x90&section=628065" 
> "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 
> 2.0.50727; .NET CLR 3.0.04506)"
> 218.28.104.69 - - [01/Jul/2009:16:21:53 +0200] "GET 
> http://www.adjal.com/42/545/15636/ HTTP/1.0" 200 391 
> "http://www.insurance08.com/plus/list.php?tid=3" "Mozilla/4.0 
> (compatible; MSIE 5.5; Windows 98)"
> 219.135.223.205 - - [01/Jul/2009:16:21:54 +0200] "GET 
> http://ad.zanox.com/ppv/?12649126C2051709508 HTTP/1.1" 200 391 
> "http://www.goodtoknows.com/43.htm" "Mozilla/4.0 (compatible; MSIE 
> 7.0; Windows NT 5.1)"
> 118.125.67.194 - - [01/Jul/2009:16:21:56 +0200] "GET 
> http://www.yahoo.com/ HTTP/1.0" 200 391 "-" "Mozilla/4.0 (compatible; 
> MSIE 6.0; Windows NT 5.1; SV1)"
> 211.192.25.173 - - [01/Jul/2009:16:21:57 +0200] "GET 
> http://directleads.com/42/68635/41797/ HTTP/1.0" 200 391 
> "http://www.businessfinance.com" "Mozilla/4.0 (compatible; MSIE 5.0; 
> Windows 98; Alexa Toolbar)"
> 218.61.33.238 - - [01/Jul/2009:16:21:57 +0200] "GET 
> http://rover.ebay.com/ar/1/710-53481-19255-30/1?campid=5336338428&toolid
>
> Anfangs kamen natürlich nur ein 404 Fehler, was unsere Leistung 
> (16MBit) fast zum erliegen gebracht hat.
> Inzwischen liefere ich ganz frech selbst einen Werbebanner 
> (http://coyote.condero.net/) aus, aber nur damit der Server möglichst 
> wenig zu tun hat.
>
> So wie es aussieht ist unsere IP irgendwie in einen Nameserver für 
> Werbebanner geraten oder so und wir bekommen aus der ganzen Welt 
> anfragen, in der letzten Woche immerhin 60GB.
> Da ich den HTTP-Port leider nicht abschalten kann, weil wir die Kiste 
> auch für andere Zwecke einsetzten, würde mich interessieren was ich 
> den jetzt tun soll.
> Hat jemand eine andere Idee als diese IP-Adresse komplett tot zu legen?
>
> Vielen dank und noch mal sorry für den OT.
>
> Gruß Frank...
>
>
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>



Mehr Informationen über die Mailingliste Postfixbuch-users