Flori12345 24.08.2019 18:00

ich habe mal eine Frage, mein Server steht zurzeit unter DDos Attacken, wie kann ich das am besten unterbinden.
Habe kein Tacker.

Wie finde ich am besten raus welche IP angreift.
währe nett wenn ich ein paar helfende antworten bekommen Danke

Cerberus 24.08.2019 18:38

garnicht .....
such in den Logs, welche Seite sie Angreifen ...
und riegel die dann ab
z.B. .htaccess

Flori12345 24.08.2019 18:40

in welchen logs finde ich das am besten

Cerberus 24.08.2019 18:50

Apache ......

Flori12345 24.08.2019 18:59

Cerberus ja das dachte ich mir auch sorry aber wonach soll ich da suchen

Cerberus 24.08.2019 19:04

das kann ich dir auch nicht sagen ...
schau in die Logs ...
meist ist es offensichtlich, was da abläuft ...

Bluesteel 25.08.2019 08:17

Du suchst nach Auffälligkeiten.... Also nach alle dem was sonnst nicht so ist... Hohe anfragelasten zum beispiel

Thunder™ 25.08.2019 14:36

Wenn die Attacken noch laufen ist es wohl am sinnvollsten direkt beim Server anzusetzen..

Schau welche Ips drauf hauen und banne sie mit Iptables, härte den Webserver ab, limitiere Zugriffe pro IP und so weiter..

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Iptables sind deine freunde..beschäftige dich damit!

Flori12345 25.08.2019 16:29

hab hir sowas drinne das is doch auch net ganz normal oder ?


[Sun Aug 25 00:17:07.387853 2019] [mpm_prefork:notice] [pid 29524] AH00163: Apache/2.4.10 (Debian) OpenSSL/1.0.1t configured -- resuming normal operations
[Sun Aug 25 00:17:07.389313 2019] [core:notice] [pid 29524] AH00094: Command line: '/usr/sbin/apache2'
[Sun Aug 25 05:14:32.704725 2019] [:error] [pid 5754] [client] script '/var/www/App.php' not found or unable to stat
[Sun Aug 25 05:14:33.875674 2019] [:error] [pid 5754] [client] script '/var/www/help.php' not found or unable to stat
[Sun Aug 25 05:14:34.170478 2019] [:error] [pid 5754] [client] script '/var/www/java.php' not found or unable to stat
[Sun Aug 25 05:24:40.069631 2019] [:error] [pid 31760] [client] script '/var/www/muhstik.php' not found or unable to stat
[Sun Aug 25 05:24:40.363534 2019] [:error] [pid 31760] [client] script '/var/www/muhstik2.php' not found or unable to stat
[Sun Aug 25 05:24:40.655843 2019] [:error] [pid 31760] [client] script '/var/www/muhstiks.php' not found or unable to stat
[Sun Aug 25 05:34:45.086358 2019] [:error] [pid 12630] [client] script '/var/www/elrekt.php' not found or unable to stat
[Sun Aug 25 05:34:46.322132 2019] [:error] [pid 12630] [client] script '/var/www/d7.php' not found or unable to stat
[Sun Aug 25 05:34:47.533823 2019] [:error] [pid 12630] [client] script '/var/www/rxr.php' not found or unable to stat
[Sun Aug 25 05:34:47.824714 2019] [:error] [pid 12630] [client] script '/var/www/1x.php' not found or unable to stat
[Sun Aug 25 05:34:48.117893 2019] [:error] [pid 12630] [client] script '/var/www/home.php' not found or unable to stat
[Sun Aug 25 05:44:52.090391 2019] [:error] [pid 5754] [client] script '/var/www/ftmabc.php' not found or unable to stat
[Sun Aug 25 05:44:52.380378 2019] [:error] [pid 5754] [client] script '/var/www/doudou.php' not found or unable to stat
[Sun Aug 25 05:44:52.669146 2019] [:error] [pid 5754] [client] script '/var/www/mjx.php' not found or unable to stat
[Sun Aug 25 05:44:52.960587 2019] [:error] [pid 5754] [client] script '/var/www/xiaoxia.php' not found or unable to stat
[Sun Aug 25 05:55:00.037563 2019] [:error] [pid 31760] [client] script '/var/www/9678.php' not found or unable to stat
[Sun Aug 25 05:55:00.331800 2019] [:error] [pid 31760] [client] script '/var/www/wc.php' not found or unable to stat
[Sun Aug 25 05:55:00.626974 2019] [:error] [pid 31760] [client] script '/var/www/xx.php' not found or unable to stat
[Sun Aug 25 09:39:46.504552 2019] [core:error] [pid 31760] [client] AH00126: Invalid URI in request GET HTTP/1.1 HTTP/1.1
/var/emu/script/ line 146: w3m: command not found
/var/emu/script/ line 146: w3m: command not found

Bluesteel 25.08.2019 17:01

Wir wissen doch nicht was bei dir für scripte laufen... Und wenns wirklich ddos Attacken sind.. Gehört der Teil deiner log nicht dazu da die Zeitpunkte der Anfragen nicht zu ner Attacke passend, wenn dann müssen viel mehr anfragen in kürzerer Zeit bei dir auf den server eingehen... schau lieber danach und sperr diese clienten mittels IP tables wie Thunder schon erwähnt hat oder Schütze betroffene Bereiche mittels.htaccess wie Cerb erwähnt hat

Thunder™ 25.08.2019 17:23

Bist du sicher das überhaupt DDOS laufen?

An was machst du das genau fest? Vielleicht hast du einfach dein Source Code derart verbeult das sich deshalb alles aufhängt. Und was sagt die Konsole? Iftop -b zb ...Mir kommt es so vor als wenn du Spekulierst das Attacken laufen aber keinerlei Anhaltspunkte dafür hast.

ach ein GreenSteel...xD Ahoi

Bluesteel 25.08.2019 18:23

Er sagte bereits das er keinen Tracker hat... Nur der teil der log beinhaltet wohl keinerlei Attacken,von daher weiter suchen.. Bzw über console erwähnte Übersicht verschaffen...

Und nein ich ändere meinen Namen nicht Thunder xD

Flori12345 25.08.2019 18:39

ich hatte den Serveranbieter angeschrieben, er hatte das gesagt.
Heute is ruhe, mal hoffen das es so bleibt.

Danke erstmal für die infos.

Bluesteel 25.08.2019 18:43

Sollte es wieder auftauchen.... Dann so verfahren wie hier beschrieben.. Sollten genügend Tips sein um dem Herr zu werden...

Flori12345 05.09.2019 22:10

heute s es wieder soweit das sind ja 1000de ips das is nur ein kleiner ausschnitt ich erkenne da nicht wo oder was die angreifen oder bin ich blind
Code: - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1022 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/18.18247" - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1022 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/18.18247"
79.104.28.xx- - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1022 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36" - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1077 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/18.18247"
62.173.145xxx - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1077 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3599.0 Safari/537.36" - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1077 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +" - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1077 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3599.0 Safari/537.36"
207.154.200.xx - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1077 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko" - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1022 "-" "Mozilla/5.0 (Linux; Android 5.0; SM-G920A) AppleWebKit (KHTML, like Gecko) Chrome Mobile Safari (compatible; AdsBot-Google-Mobile; +" - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1022 "-" "Mozilla/5.0 (Linux; Android 5.0; SM-G920A) AppleWebKit (KHTML, like Gecko) Chrome Mobile Safari (compatible; AdsBot-Google-Mobile; +" - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1022 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/18.18247" - - [05/Sep/2019:22:43:53 +0200] "GET / HTTP/1.1" 200 1077 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143 Safari/601.1 (compatible; AdsBot-Google-Mobile; +"

Cerberus 07.09.2019 07:15

die rufen das Listing auf ...
also ohne Script-URL ...

das kannst du per HTACCESS abfangen :)

Flori12345 09.09.2019 21:57

ok meinst du sowas vieleicht
IndexIgnore * oder bin ich da jetzt falsch

Alle Zeitangaben in WEZ +1. Es ist jetzt 15:42 Uhr.

