Merkwürdiger Zugriff auf meine Seite

Seether · Beitrag von **Seether** » 06.01.2008 01:26

Laut Webalizer

# 	Anfragen 	Dateien 	kb 	Besuche 	Rechnername
1 	36231 	 	0 	 	662543  	1 		xxxxx

Wie habe ich das zu verstehen?
Da greift eine IP 36k mal auf meine Seite zu, aber auf keine Datei.... und verursacht 660mb traffic...
Was ist da los?

Reicht es einen eintrag in der .htaccess zu erstellen mit

Code: Alles auswählen

Deny from xxx.xxx.xxx.xxx

?

S.

Seether · Beitrag von **Seether** » 07.01.2008 01:35

Ich kapiere es nicht

Habe die IP in der .htaccess gesperrt und heute sehe ich das hier.

# Anfragen Dateien kb Besuche Rechnername
1 43435 0 794246 1 xxx

Was kann man da jetzt noch machen?

S.

larsneo · Beitrag von **larsneo** » 07.01.2008 10:37

was sagt denn das log?

Seether · Beitrag von **Seether** » 08.01.2008 22:25

So Logfile mal durchsucht.

Code: Alles auswählen

xxx.xx.xxx.xxx - - [07/Jan/2008:00:00:04 +0100] "POST /phpbb/login.php HTTP/1.1" 403 18763 "-" "-"

xx.xxx.xxx.xxx - - [07/Jan/2008:00:00:04 +0100] "POST /phpbb/viewforum.php?f=1 HTTP/1.1" 403 18771 "-" "-"

So geht es munter weiter. Hauptsächlich auf viewforum.php. Was mich wunder ist, dass ForenIDs aufgerufen werden, die ich gar nicht habe....

d23 · Beitrag von **d23** » 08.01.2008 22:27

Der Webserver gibt ein Zugriff verweigert zurück, deswegen meint der Webalizer wohl "keine Dateien".

Ist da mod_security im Einsatz ?

Ist wohl ein Spam Bot oder sowas in der Art, ich check nicht, warum an login.php 18 kb Daten via POST übergeben werden...

Seether · Beitrag von **Seether** » 08.01.2008 23:19

d23 hat geschrieben:Der Webserver gibt ein Zugriff verweigert zurück, deswegen meint der Webalizer wohl "keine Dateien".

Ja IP ist in der htaccess gesperrt....

d23 hat geschrieben: Ist da mod_security im Einsatz ?

Nein. Ist es ratsam wenn man sich mit Servern nicht auskennt? Also ich meine reicht simples installieren des Moduls aus oder bedarf es feinfühliger Einstellungen?

S.

d23 · Beitrag von **d23** » 09.01.2008 18:40

Wenn man sich mit Server nicht auskennt, ist es ratsam, jemanden zu haben der es tut, und sich auch um die Maschine kümmert

mod_security ist nicht unbedingt einfach, und muss salopp ausgedrückt erst angelernt werden, bietet dann aber mächtige Schutzfunktionen gegen Angriffe.

Primär wäre der Inhalt der POST-Request interessant, das ließe sich u.A. recht einfach mit tcpdump herausfinden - ist aber auch nicht so einfach, wenn du, wie gesagt, keine Erfahrungen mit dem Betrieb von Servern hast.

Seether · Beitrag von **Seether** » 11.01.2008 22:39

Könnte ich noch was machen außer die IP in der .htaccess zu sperren? Verbraucht mittlerweile bis über 1,4 GB...

Also mein Provider würde mich das sicherlich installieren, das wäre kein Problem.
Aber bringt mir das auch was wenn ich den Kram selbst einstellen müsste? Geht das überhaupt ohne Root-Zugriff?
Lohnt sich die verwendung von mod_security auch mit den Standardwerten oder macht es nur Sinn wenn man alles selbst anpasst?

S.

larsneo · Beitrag von **larsneo** » 22.01.2008 21:34

für modsecurity 1.9 habe ich vor längerer zeit einmal ein ruleset gepostet: *klick*

Seether · Beitrag von **Seether** » 23.01.2008 00:13

larsneo hat geschrieben:für modsecurity 1.9 habe ich vor längerer zeit einmal ein ruleset gepostet: *klick*

Gelten die phpBB rules auch noch für phpBB3?

Du sprichst von 10% mehr Last...das ist ne Menge Holz...