[Postfixbuch-users] OT: tausende von HTTP Anfragen aus der ganzen Welt
Timo Schoeler
timo.schoeler at riscworks.net
Mi Jul 1 17:02:53 CEST 2009
thus Leo Unglaub spake:
> Hallo !
> Du eigentlich keine andere Möglichkeit als mit einem regex die
> IP-Adressen herauszufiltern und dann einfach per IPTABLES zu blocken.
> Damit solltest du ruhe haben. Andernfalls, falls der Rechner in einem
> Rechenzentrum steht melde denen die IP-Adressen. Gute Rechenzentren wie
> Hetzner gehen dem nach und greifen im Notfall auch ein.
>
> Viele Grüße
> Leo
Solltest Du apache einsetzen, gibt's mod_evasive [0], was vielleicht mal
einen blick wert wäre.
bei lighttpd, nginx, cherokee et al. gibt's ähnliches.
HTH,
Timo
[0] -- http://www.nuclearelephant.com/projects/mod_evasive/
> Frank J. Dürring schrieb:
>> Hallo zusammen,
>>
>> das ist hier wirklich sehr Off Topic, deshalb ggf. auch die Antworten
>> via PM.
>>
>> Seit ca. einer Woche bekommen wir tausende von HTTP Anfragen vor allem
>> aus Asien und Nordamerika, die von unserem internen Mail-Server
>> (wahrscheinlich Zufall) Werbebanner holen möchten.
>>
>> Hier ein Beispiel aus dem Logfile:
>> 118.125.67.194 - - [01/Jul/2009:16:21:51 +0200] "GET
>> http://www.accessteams.com/proxyheader.php HTTP/1.0" 200 391 "-"
>> "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
>> 69.162.80.194 - - [01/Jul/2009:16:21:51 +0200] "GET
>> http://ad.adserverplus.com/st?ad_type=iframe&ad_size=728x90§ion=628065
>> HTTP/1.0" 200 391 "http://www.jointhecteam.com" "Mozilla/4.0
>> (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET
>> CLR 3.0.04506)"
>> 69.162.80.194 - - [01/Jul/2009:16:21:52 +0200] "GET
>> http://ad.zanox.com/ppv/?12649126C2051709508 HTTP/1.0" 200 391
>> "http://ad.adserverplus.com/st?ad_type=iframe&ad_size=728x90§ion=628065"
>> "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR
>> 2.0.50727; .NET CLR 3.0.04506)"
>> 218.28.104.69 - - [01/Jul/2009:16:21:53 +0200] "GET
>> http://www.adjal.com/42/545/15636/ HTTP/1.0" 200 391
>> "http://www.insurance08.com/plus/list.php?tid=3" "Mozilla/4.0
>> (compatible; MSIE 5.5; Windows 98)"
>> 219.135.223.205 - - [01/Jul/2009:16:21:54 +0200] "GET
>> http://ad.zanox.com/ppv/?12649126C2051709508 HTTP/1.1" 200 391
>> "http://www.goodtoknows.com/43.htm" "Mozilla/4.0 (compatible; MSIE
>> 7.0; Windows NT 5.1)"
>> 118.125.67.194 - - [01/Jul/2009:16:21:56 +0200] "GET
>> http://www.yahoo.com/ HTTP/1.0" 200 391 "-" "Mozilla/4.0 (compatible;
>> MSIE 6.0; Windows NT 5.1; SV1)"
>> 211.192.25.173 - - [01/Jul/2009:16:21:57 +0200] "GET
>> http://directleads.com/42/68635/41797/ HTTP/1.0" 200 391
>> "http://www.businessfinance.com" "Mozilla/4.0 (compatible; MSIE 5.0;
>> Windows 98; Alexa Toolbar)"
>> 218.61.33.238 - - [01/Jul/2009:16:21:57 +0200] "GET
>> http://rover.ebay.com/ar/1/710-53481-19255-30/1?campid=5336338428&toolid
>>
>> Anfangs kamen natürlich nur ein 404 Fehler, was unsere Leistung
>> (16MBit) fast zum erliegen gebracht hat.
>> Inzwischen liefere ich ganz frech selbst einen Werbebanner
>> (http://coyote.condero.net/) aus, aber nur damit der Server möglichst
>> wenig zu tun hat.
>>
>> So wie es aussieht ist unsere IP irgendwie in einen Nameserver für
>> Werbebanner geraten oder so und wir bekommen aus der ganzen Welt
>> anfragen, in der letzten Woche immerhin 60GB.
>> Da ich den HTTP-Port leider nicht abschalten kann, weil wir die Kiste
>> auch für andere Zwecke einsetzten, würde mich interessieren was ich
>> den jetzt tun soll.
>> Hat jemand eine andere Idee als diese IP-Adresse komplett tot zu legen?
>>
>> Vielen dank und noch mal sorry für den OT.
>>
>> Gruß Frank...
>>
>>
>> --
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>>
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
Mehr Informationen über die Mailingliste Postfixbuch-users