ABAKUS

Verfasst: **06.03.2007, 08:24**

Moin,

aktuell belästigt uns ein blöder Typ mit tausenden Anfragen an den Server (vermute den Grund, dass der Server gekillt werden soll). Seiten werden alle einzeln aufgerufen also manuell, kein Bot oder so, per selbstgebateltem Script vielleicht?!

Hier mal ein Log-Auszug, ein wenig abgeändert, und mit 403er - hab die Range erstmal gesperrt (Arcor):

88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=639 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=615 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=619 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=618 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=620 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=621 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=625 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=623 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=629 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=626 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=630 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:08 +0100] "GET /index.php?id=633 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=631 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=632 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=644 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=649 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=637 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=640 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=641 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=642 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=645 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=643 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=646 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=648 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=613 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=617 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=622 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:09 +0100] "GET /index.php?id=624 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:10 +0100] "GET /index.php?id=362 HTTP/1.0" 403 625 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:10 +0100] "GET /index.php?id=364 HTTP/1.0" 403 620 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:10 +0100] "GET /index.php?id=366 HTTP/1.0" 403 627 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:10 +0100] "GET /index.php?id=369 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:10 +0100] "GET /index.php?id=370 HTTP/1.0" 403 621 www.***.de "https://www.***.de/" "" "-"
88.76.204*** - - [06/Mar/2007:08:00:10 +0100] "GET /index.php?id=658 HTTP/1.0" 403 623 www.***.de "https://www.***.de/" "" "-"

Hat wer nen Plan was man da machen kann gegen solche bösen Buben?!

Verfasst: **06.03.2007, 10:07**

Falls Du Apache als Webserver nutzt, ist vieleicht Mod_Evasive was für Dich:

https://apacheblog.de/item/53

Verfasst: **06.03.2007, 10:16**

hi,

danke für die fixe antwort.
der link da ist aber irgendwie wech, wird nen 404er ausggeben.

https://dspam.nuclearelephant.com/projects/mod_evasive/

hab da wo diese seite liegt einen managed server von 1und1 also sprich kein direkt root, gehts damit auch ?

Verfasst: **06.03.2007, 10:41**

Hallo
https://www.zdziarski.com/projects/mod_evasive/ der geht bzw hier Downloaden
https://www.zdziarski.com/projects/mod_ ... 0.1.tar.gz

Aber wenn du keinen Root zugriff hast, glaube ich kaum das du das installieren kannst:)
Im Kontrollcenter gibt es eine Einstellung laut 1und1 Hilfe

Anzahl gleichzeitig ausführbarer Prozesse : Mit diesen Wert können Sie verhindern, dass zu viele Besucher gleichzeitig auf bestimmte Skripte zugreifen und so die Abarbeitung bereits laufender Prozesse (parallelle Webserver-Anfragen, CGI-Skripte und Cronjobs) stören. Diese Einstellung korreliert direkt mit der Einstellung der Prozesslaufzeit.

Vieleicht kann man da was machen
MFG
Racker

ABAKUS

Bomben auf Server

Bomben auf Server