[ch-world]

Hey Jungs,

wir haben für eine Community 2 Linux vServer. Seit vorgestern stehen diese unter beschuss. Wie es aussieht wohl ein Botnet. Jedenfalls kommen von verschiedenen IPs 30 bis zu 600 connections auf Port 80 rein. Die Kiste ist somit nicht zu gebrauchen.

Ich habe jetzt versucht abhilfe zu schaffen über ein Script, welches alles Connections auf port 80 rauspickt, dann sortiert und die Anzahl der Connections pro IP zählt. Ist die Anzahl größer 15 wird in Script erzeugt, dass iptables einträge erstellt.

Ich verwende dafür dann

Code:

iptables -A INPUT -s <IP> -j DROP

Problem bei der Sache ist jedoch, dass die bereits bestehenden Connections somit tot rumhängen und erstmal ihren TTL erreichen müssen. Sie blockieren also den netzwerkverkehr.

Ideen wie man das ganze verbessern und schöner lösen könnte?

[vmk]

Dazu gab es hier schon mal einen Thread dazu.

Wieso greifst du nicht an der Stelle an, wo das Problem liegt?

[ch-world]

Gute idee. hatte schonmal gesucht. aber in der hektik dann den thread übersehen. ist einfach ärgerlich wenn die seite 24 stunde down ist und man mehr als 20Gb traffic hat.

blöderweise kann ich tcp_synack_retries nicht herabsetzen um den buffer schneller zu leeren. mal morgen beim hoster anfrage ob soetwas möglich wäre.
ansonsten mal schauen, dass ich mit der 30 connections regel arbeiten werde.


für die mal mit sufu hier her stoßen. dieser thread ist gemeint

[ch-world]

Und wieder einmal das Thema...
Server bekommt seeehr viele HTTP Anfragen von verschiedenen Rechnern. Einzelne IPs haben jeweils aber nur eine einzige gleichzeitige Verbindung. Gleiche Merkmale sind im HTTP Request nicht vorhanden. Ausser natürlich die URL.

Habe jetzt schon versucht durch

Code:

for i in `tail -n 2000 /var/log/lighttpd/access.log|grep -i "GET /index.php HTTP/1.1"|awk '{ print $1; }'|uniq`; do sudo iptables -A INPUT -s $i; done

Herr der Lage zuwerden. Aber iptables hat jetzt mehr als 8000 verschiedene Einträge und es hört einfach nicht auf. *seufz*

[MissAntroph]

Beim Apachen würde ich dir mod_(security|evasive) vorschlagen, sowas nettes gibt es für den lighty leider nicht, allerdings kann man sich dort mit mod_magnet was nettes zusammenbauen. Damit schlug man sich nebenan schon die Nächte um die Ohren und schrieb ne nette Anleitung dazu.




So, mein Postcounter weist nun eine redliche Primzahl (2927) auf und mein letzter Login war am PI-Day: Den Soll erfüllt also, erwarte keine Antwort mehr, das zerstört mir die Zahlen!

[ch-world]

Dieses Skript lief genau 3 Minuten. Danach hatte unser lieber Angreifer eine Liste von bekannten User-Agents und hat zufällig ausgewählt.

Nuja, im Moment hat es aufgehört. Wir haben jetzt ein Skript laufen, dass das Logfile analysiert und auffällige Zugriffe sperrt. Bisher die wohl einzige Lösung die Erfolg brachte...