[Postfixbuch-users] OT: tausende von HTTP Anfragen aus der ganzen Welt

Timo Schoeler timo.schoeler at riscworks.net
Mi Jul 1 17:06:47 CEST 2009


thus Leo Unglaub spake:
> Hallo !
> Du eigentlich keine andere Möglichkeit als mit einem regex die 
> IP-Adressen herauszufiltern und dann einfach per IPTABLES zu blocken. 
> Damit solltest du ruhe haben. Andernfalls, falls der Rechner in einem 
> Rechenzentrum steht melde denen die IP-Adressen. Gute Rechenzentren wie 
> Hetzner gehen dem nach und greifen im Notfall auch ein.
> 
> Viele Grüße
> Leo

Solltest Du apache einsetzen, gibt's mod_evasive [0], was vielleicht mal
einen blick wert wäre.

bei lighttpd, nginx, cherokee et al. gibt's ähnliches.

HTH,

Timo

[0] -- http://www.nuclearelephant.com/projects/mod_evasive/

> Frank J. Dürring schrieb:
>> Hallo zusammen,
>>
>> das ist hier wirklich sehr Off Topic, deshalb ggf. auch die Antworten 
>> via PM.
>>
>> Seit ca. einer Woche bekommen wir tausende von HTTP Anfragen vor allem 
>> aus Asien und Nordamerika, die von unserem internen Mail-Server 
>> (wahrscheinlich Zufall) Werbebanner holen möchten.
>>
>> Hier ein Beispiel aus dem Logfile:
>> 118.125.67.194 - - [01/Jul/2009:16:21:51 +0200] "GET 
>> http://www.accessteams.com/proxyheader.php HTTP/1.0" 200 391 "-" 
>> "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
>> 69.162.80.194 - - [01/Jul/2009:16:21:51 +0200] "GET 
>> http://ad.adserverplus.com/st?ad_type=iframe&ad_size=728x90&section=628065 
>> HTTP/1.0" 200 391 "http://www.jointhecteam.com" "Mozilla/4.0 
>> (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET 
>> CLR 3.0.04506)"
>> 69.162.80.194 - - [01/Jul/2009:16:21:52 +0200] "GET 
>> http://ad.zanox.com/ppv/?12649126C2051709508 HTTP/1.0" 200 391 
>> "http://ad.adserverplus.com/st?ad_type=iframe&ad_size=728x90&section=628065" 
>> "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 
>> 2.0.50727; .NET CLR 3.0.04506)"
>> 218.28.104.69 - - [01/Jul/2009:16:21:53 +0200] "GET 
>> http://www.adjal.com/42/545/15636/ HTTP/1.0" 200 391 
>> "http://www.insurance08.com/plus/list.php?tid=3" "Mozilla/4.0 
>> (compatible; MSIE 5.5; Windows 98)"
>> 219.135.223.205 - - [01/Jul/2009:16:21:54 +0200] "GET 
>> http://ad.zanox.com/ppv/?12649126C2051709508 HTTP/1.1" 200 391 
>> "http://www.goodtoknows.com/43.htm" "Mozilla/4.0 (compatible; MSIE 
>> 7.0; Windows NT 5.1)"
>> 118.125.67.194 - - [01/Jul/2009:16:21:56 +0200] "GET 
>> http://www.yahoo.com/ HTTP/1.0" 200 391 "-" "Mozilla/4.0 (compatible; 
>> MSIE 6.0; Windows NT 5.1; SV1)"
>> 211.192.25.173 - - [01/Jul/2009:16:21:57 +0200] "GET 
>> http://directleads.com/42/68635/41797/ HTTP/1.0" 200 391 
>> "http://www.businessfinance.com" "Mozilla/4.0 (compatible; MSIE 5.0; 
>> Windows 98; Alexa Toolbar)"
>> 218.61.33.238 - - [01/Jul/2009:16:21:57 +0200] "GET 
>> http://rover.ebay.com/ar/1/710-53481-19255-30/1?campid=5336338428&toolid
>>
>> Anfangs kamen natürlich nur ein 404 Fehler, was unsere Leistung 
>> (16MBit) fast zum erliegen gebracht hat.
>> Inzwischen liefere ich ganz frech selbst einen Werbebanner 
>> (http://coyote.condero.net/) aus, aber nur damit der Server möglichst 
>> wenig zu tun hat.
>>
>> So wie es aussieht ist unsere IP irgendwie in einen Nameserver für 
>> Werbebanner geraten oder so und wir bekommen aus der ganzen Welt 
>> anfragen, in der letzten Woche immerhin 60GB.
>> Da ich den HTTP-Port leider nicht abschalten kann, weil wir die Kiste 
>> auch für andere Zwecke einsetzten, würde mich interessieren was ich 
>> den jetzt tun soll.
>> Hat jemand eine andere Idee als diese IP-Adresse komplett tot zu legen?
>>
>> Vielen dank und noch mal sorry für den OT.
>>
>> Gruß Frank...
>>
>>
>> -- 
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>>
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 





Mehr Informationen über die Mailingliste Postfixbuch-users