en allow google en andere zoekmachines
Ik heb nu een map images met daarin een leeg bestand abc.php geplaatst en nu krijg ik een blanco pagina als ik deze vraag.
Is er nog een code snipped die ik er in kan zetten om de ip's waar de aanval vandaan komt bijvoorbeeld een tijd in de wacht te zetten voor een maximum aantal seconden. Of zal ik ze maar redirecten naar de FBI in USA?
Ik kan je niet zo snel een stukje code geven waarmee je alles kan blokken. Maar in principe zou ik het volgende doen:
- Checken of het IP een IP is wat je wilt blokken (dus alles behalve je eigen IP, NL IP's, Google z'n IP's, etc).
- Als je PHP gebruikt met de functie exec() het commando uitvoeren om het betreffende IP in je firewall te zetten (alle connecties droppen).
Je zult dan in ieder geval niet meer de load op je webserver krijgen (maar op je firewall).
Beter is natuurlijk om met je netwerkprovider te praten en hen laten proberen de DDOS af te slaan.
als je in ieder geval de aanvallende ip's wil loggen dan zou ik dat als volgt doen:
Code:<?php $fm = "Source: ".$REMOTE_ADDR; $fp = fopen("log.txt", "a+"); fwrite($fp, $fm.'< br />', 1024); fclose($fp); header("Connection: close"); ?>
<?php
#undrop: iptables -D INPUT -s <IP> -j DROP
$allow = array(
'127.0.0.1',
'209.85.229.105',
);
if ($ip = @$_SERVER['REMOTE_ADDR'] AND !in_array($ip, $allow)) {
shell_exec('iptables -I INPUT -s '.$ip.' -j DROP');
}
?>
Hangt er vanaf welke provider het is natuurlijk, maar meeste providers hebben wel firewalls met IDS/IPS die er al een heel deel kunnen uit filteren. Want op zich maakt het niet veel uit als je het zelf in je firewall zet, want de traffic komt nogaltijd toe op je server. Dus is je probleem niet opgelost maar gewoon van webserver load afgehaald en verplaatst naar je firewall.
IP adressen loggen en kijken of er reeksen bij zitten die bvb van dezelfde ISP afkomstig zijn en dan even een abuse melding bij die provider doen. Want een neen heb je altijd en een ja kan je krijgen.
Dennis de Houx - All In One ~ Official ISPsystem partner
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
Inmiddels ben ik er achter dat dit van een virus afkomstig is wat rondwaart en een lijst met websites aanvalt met veel GET requests.
Zie hier de info:
The virus is identified as a worm by several virus scanners.
This virus is identified as:
a-squared 4.5.0.50 2010.02.06 Trojan-Downloader.Win32.Bagle!IK
AntiVir 7.9.1.158 2010.02.05 WORM/Bagle.Gen
Authentium 5.2.0.5 2010.02.06 W32/Themida_Packed!Eldorado
AVG 9.0.0.730 2010.02.06 Win32/Cryptor
BitDefender 7.2 2010.02.06 MemScan:Trojan.Downloader.Bagle.MD
CAT-QuickHeal 10.00 2010.02.06 (Suspicious) - DNAScan
DrWeb 5.0.1.12222 2010.02.06 Trojan.DownLoad.61893
eTrust-Vet 35.2.7286 2010.02.05 Win32/Bagle!generic
F-Prot 4.5.1.85 2010.02.06 W32/Themida_Packed!Eldorado
F-Secure 9.0.15370.0 2010.02.06 MemScan:Trojan.Downloader.Bagle.MD
GData 19 2010.02.06 MemScan:Trojan.Downloader.Bagle.MD
Ikarus T3.1.1.80.0 2010.02.06 Trojan-Downloader.Win32.Bagle
McAfee+Artemis 5884 2010.02.06 Artemis!DCB98E06CE47
McAfee-GW-Edition 6.8.5 2010.02.06 Heuristic.LooksLike.Win32.Suspicious.K
Panda 10.0.2.2 2010.02.06 Trj/CI.A
Prevx 3.0 2010.02.06 Medium Risk Malware
Sophos 4.50.0 2010.02.06 Mal/Generic-A
For your reference see ths info on comodo.com : http://camas.comodo.com/cgi-bin/subm...ece6b3&iframe=
Ik heb inmiddels Fail2Ban geïnstalleerd en deze haalt uit de logs perfect het IP en zet deze dan in iptables
Het enige nadeel wat er nog aan kleeft in dat het de apache access logs vervuilt maar ik zal eens kijken of ik deze kan filteren met dontlog in apache
wauw en dat binnen het jaar. gefeliciteerd.
ik neem aan dat met een beetje inzet je dat virus wel eerder had kunnen vinden.?
Nou niet echt nee. Door het beperkt aantal sites die de target zijn is er verder niet veel over geschreven. Regelmatig heb ik zoekopdrachten op internet uitgevoerd voor info maar pas recent kwam ik het bericht op comodo.com tegen en zag ik de lijst twee van onze sites staan.
Doordat we de opgevraagde bestanden ooit hebben aangemaakt met een leeg php bestand is de serverload te verwaarlozen en is het hoogstens irritant dat logbestanden worden vervuild en zijn we recent eens aan het experimenteren gegaan met Fail2Ban die overigens perfect werkt. Jammer dat Fail2Ban nog geen auto abuse email naar de netbeheerder kan sturen.
Ik verrmoed overigens dat het geval is ontstaan na dat tot 2 keer toen de shared server die we eerst bij Yourhosting hadden was gehackt. Dit was de reden over te stappen naar een Dedicated Server ook omdat regelmatig de Server bij Yourhosting plat lag door allerlei aanvallen.