apache támadás
Nagy Csaba
ncsaba03 at t-online.hu
2007. Okt. 8., H, 10:53:39 CEST
Kedves Béla!
Igen, pontosan ez történik. Egy kicsit részletezem.
>
>
>
> 19.254.32.113 - - [07/Oct/2007:23:35:19 +0200] "CONNECT
> 203.165.10.71:25 HTTP/1.0" 405 312 "-" "-"
>
> 194.143.136.249 - - [07/Oct/2007:23:35:23 +0200] "CONNECT
> 205.188.153.249:443 HTTP/1.0" 405 315 "-" "-"
>
Ennek a kettőnek az IP címe nem regisztrált. Tehát hamisak.
>
> 58.49.253.193 - - [07/Oct/2007:23:35:25 +0200] "GET
> http://www.jadesearch.net/directory/exercise/aff/1011 HTTP/1.0" 404 308 "
>
> 85.220.92.229 - - [07/Oct/2007:23:35:27 +0200] "GET
> http://login.vip.krs.yahoo.com/config/login?.patner=sbc&passwd=dream&logi
>
> 81.249.250.253 - - [07/Oct/2007:23:36:13 +0200] "GET
> http://clickingagent.com/proxycheck.php?ip=195.199.179.113&port=80&loc=
>
> 81.249.250.253 - - [07/Oct/2007:23:36:13 +0200] "GET
> http://www.interbal.com/ADVERTISING.php HTTP/1.0" 404 294 "http://www.in
>
> 208.74.100.8 - - [07/Oct/2007:23:36:14 +0200] "GET
> http://www.ticketmaster.com/event/03003D7E41556571 HTTP/1.1" 404 305 "-" "
>
Nekem ez úgy, tűnik mintha proxynak /átjárónak/ használnák a
webszerverét(Nem hinném, hogy egy Kínában elő embert az ön
szervere érdekelné).
>
> 72.232.86.210 - - [07/Oct/2007:23:36:15 +0200] "CONNECT
> 205.188.179.233:443 HTTP/1.0" 405 315 "-" "-"
>
> 194.143.136.248 - - [07/Oct/2007:23:36:15 +0200] "CONNECT
> 205.188.153.249:443 HTTP/1.0" 405 315 "-" "-"
>
Ez a kettő megint hamis.
>
> 216.15.236.131 - - [07/Oct/2007:23:36:16 +0200] "GET
> http://www.ticketmaster.com/event/0A003F0FD80FB0F8?artistid=1149434&majo
>
> 203.111.234.35 - - [07/Oct/2007:23:36:16 +0200] "GET
> http://209.73.171.126/config/isp_verify_user?l=_darkthrone_&p=stick HTTP
>
> 84.19.176.7 - - [07/Oct/2007:23:36:18 +0200] "GET
> http://64.233.171.102/search?q=%2Fmt-tb.cgi%2F+wash&num=100&filter=0&sa=N&h
>
Itt megint proxyként használják a webszerverét. Itt még feltörés is
folyamatban van.
>
> 219.254.32.108 - - [07/Oct/2007:23:36:19 +0200] "CONNECT
> 125.206.187.59:25 HTTP/1.0" 405 313 "-" "-"
>
> 194.143.136.249 - - [07/Oct/2007:23:36:19 +0200] "CONNECT
> 205.188.153.249:443 HTTP/1.0" 405 315 "-" "-"
>
Itt megint hamis IP címek szerepelnek.
Ebből nekem az látszik, hogy az apache-ban be van kapcsolva a reverse
proxy. Szóval azt javasolom önnek, hogy tiltson minden IP címet ami
proxyra akarja használni a szerverét.
//httpd.conf//
ProxyRequests Off
<Proxy *>
Order deny,allow
deny from all
</Proxy>
Amennyiben linuxot használ nem árt az érvénytelen csomagok szűrése és a
DoS( A szerver megbénítására használt trükkök gyűjtő fogalma) elleni
védelem:
# Syn-flood elleni védelem ( A SYN a kapcsolat teremtő csomag. Amire a
szerver válaszol egy SYN-ACK csomaggal, de ha érvénytelen IP címekről
ennek tömkelege jön az bénítja a szervert, mert mindegyikre válaszolnia
kell.)
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Port letapogatás elleni védelem (Nyitott portok megvizsgálásnak
megakadályozása )
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
--limit 1/s -j ACCEPT
# Halál pingje elleni védelem ( Ezt nem részletezem.)
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
#Érvénytelen csomagok eldobása
iptables -A FORWARD -i eth1 -m state --state INVALID -j DROP
iptables -A FORWARD -i ppp0 -m state --state INVALID -j DROP
ui: Remélem segítettem.
----
Üdv : Csabi
További információk a(z) Techinfo levelezőlistáról