André Laugks: Apache: Anfragen blocken

Hallo!

Es wird ständig versucht, auf einem Server das Script "formmail.cgi" aufzurufen. Mit Sicherheit, um Spam-Emails zu versenden. Dieses script existiert aber nicht. Sehr oft wird auch versucht, in der Hoffung es ist ein Win-System installiert, irgendwelche Dateien, z.B. "_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe", aufzurufen. Diese Aufrufe finden innerhalb 1-3 Sekunden über Minuten statt.

Nun ist wie ich vermute, hat sich am Donnerstag der Apache aufgehangen.

[Thu Feb 20 02:55:40 2003] [error] server reached MaxClients setting, consider raising the MaxClients setting

Es ist "MaxClients 150" eingetragen.

Welche Möglichkeit habe ich, solche Aufrufe zu blocken bzw. das erst gar nicht nach diesen Dateien geschaut wird? Was kann ich dagegen tun? Die Aufrufe kommen auch nicht immer von der selben IP. Ein Tag mal die IP, ein anderen Tag mal die IP.

MfG, André Laugks

  1. Sup!

    Vielleicht ist der Server schlecht konfiguriert?
    Gibt's da nicht irgendein client-respawn-Setting? Und überhaupt, diese Anfragen können doch den Server nicht in die Knie zwingen können... ich habe die auch oft, jeder hat die, denn es sind entweder Spammer oder irgendwelche Angriffs-Skripte, die täglich von dutzenden Rechnern gestartet werden, die solche Anfrage stellen. Manchmal auch irgendwelche Würmer. Sperren wird man die kaum können.

    Gruesse,

    Bio

    --
    Ich bin ein Mobber - mein Posting tut mir leid! EHRLICH!!!
    1. Hallo!

      Vielleicht ist der Server schlecht konfiguriert?

      Das ist noch nie passiert. Der Server läuft seit 1 1/2 Jahren, ohne Neustart. Den Apache hatte ich mal ein zwei neu gestartet, wegen Konfigurationsänderungen.

      Gibt's da nicht irgendein client-respawn-Setting?

      Tschja, ich hatte gehofft hier zu hören, ob es solch eine Setting gibt.

      Und überhaupt, diese Anfragen können doch den Server nicht in die Knie zwingen können... ich habe die auch oft, jeder hat die, denn es sind entweder Spammer oder irgendwelche Angriffs-Skripte, die täglich von dutzenden Rechnern gestartet werden, die solche Anfrage stellen. Manchmal auch irgendwelche Würmer. Sperren wird man die kaum können.

      Ich habe mal die alten Logfile-Dateien durch geschaut. Diese "Anfragen" gab es schon immer.

      MfG, André Laugks

      1. Moin!

        Ich habe mal die alten Logfile-Dateien durch geschaut. Diese "Anfragen" gab es schon immer.

        formail.cgi / formmail.pl ist durch Spammer (ein unsicheres Matt Wright-Script), cmd.exe ist imho Code Red, der durch eine Sicherheitsluecke im IIS an eine Shell kommt. Wie das allerdings deinen Apachen beeinflusst hat, kann ich nicht beeinflussen. Die Meldung hoert sich irgendwie merkwuerdig an (Wo gibt es 150 Anfragen quasi-parallel? Selbst beim Self-Server wuesst ich nicht, ob das der Fall ist...), fast dach distributed DOS...

        Viele Gruesse,

        Einbecker

        --
        ... auch wenn ich eigentlich ja Dresdener bin...
        1. Hallo!

          formail.cgi / formmail.pl ist durch Spammer (ein unsicheres Matt Wright-Script),

          Ich meine auch FormMail.pl, mail.pl usw. in den Logfiles gesehen zu haben.

          cmd.exe ist imho Code Red, der durch eine Sicherheitsluecke im IIS an eine Shell kommt.

          Auch DLLs werden versucht aufzurufen.

          Die Meldung hoert sich irgendwie merkwuerdig an (Wo gibt es 150 Anfragen quasi-parallel? Selbst beim Self-Server wuesst ich nicht, ob das der Fall ist...), fast dach distributed DOS...

          Das dachte ich mir auch! Ich hoffe das es nur eine einmalige Sache war. Der Apache bzw. der gesamte Server läuft seit 1 1/2 Jahren stabil.

          MfG, André Laugks

          --
          L-Andre @ gmx.de
          1. Moin!

            formail.cgi / formmail.pl ist durch Spammer (ein unsicheres Matt Wright-Script),

            Ich meine auch FormMail.pl, mail.pl usw. in den Logfiles gesehen zu haben.

            Nun gut, wiederum scheinbar irgendwelche unsicheren Skripte, die scheinbar gerne von Spammern benutzt werden, da sie unsicher sind...

            cmd.exe ist imho Code Red, der durch eine Sicherheitsluecke im IIS an eine Shell kommt.

            Auch DLLs werden versucht aufzurufen.

            Hmm... hoert sich irgendwie nach diversesten Wuermern an... k.A., ich guck meine Logfiles nicht so haeufig an, aber da mag der MS-SQL-Wurm und andere MS-Sicherheitsluecken betroffen sein. bei cmd.exe mein ich definitiv zu wissen, dass es Code Red ist ;-)

            Die Meldung hoert sich irgendwie merkwuerdig an (Wo gibt es 150 Anfragen quasi-parallel? Selbst beim Self-Server wuesst ich nicht, ob das der Fall ist...), fast dach distributed DOS...

            Das dachte ich mir auch! Ich hoffe das es nur eine einmalige Sache war. Der Apache bzw. der gesamte Server läuft seit 1 1/2 Jahren stabil.

            Ich habe von der Apache-Administration relativ wenig Ahnung (hier laeuft nur einer Intern, da brauch ich mich nicht um Sicherheitsfragen zu kuemmern), aber evtl. gabs in den letzten 1,5 Jahren ja auch Speicherlecks u.ae., was zu einem Upgrade (innerhalb der 1er-Linie) bewegen sollte. Eventuell findet sich auf http://httpd.apache.org/ mehr dazu.

            Viele Gruesse,

            der weiter lernende Einbecker

            --
            ... auch wenn ich eigentlich ja Dresdener bin...