nicht angemeldet
apache logfile
hallo!
heute hab ich mir mal wieder mein logfile ansehen müssen, weil gestern wieder mal eine anfrage auf eine seite, die nicht existiert, gestellt wurde - und das über 50.000/stunde. nun frag ich mich wie sowas passieren kann, bzw. wer so etwas macht und was es ihm/ihr nutzt?
hier ist mal eine zeile aus dem log:
p50887130.dip.t-dialin.net - - [05/Nov/2003:16:55:23 +0100] "GET /update//index.htm HTTP/1.0" 404 292 "-" "-"
auffällig dabei ist, dass im letzten feld eigentlich der browser agent gelistet sein sollte (und im vorletzten doch der referer?). hier steht aber nur "-". was bedeutet das jetzt? mit absicht verschleiert? oder war es nur ein ping von der kommandozeile aus?
gruß.
roger.
-
Moin,
heute hab ich mir mal wieder mein logfile ansehen müssen, weil gestern wieder mal eine anfrage auf eine seite, die nicht existiert, gestellt wurde - und das über 50.000/stunde. nun frag ich mich wie sowas passieren kann, bzw. wer so etwas macht und was es ihm/ihr nutzt?
hier ist mal eine zeile aus dem log:p50887130.dip.t-dialin.net - - [05/Nov/2003:16:55:23 +0100] "GET /update//index.htm HTTP/1.0" 404 292 "-" "-"
auffällig dabei ist, dass im letzten feld eigentlich der browser agent gelistet sein sollte (und im vorletzten doch der referer?). hier steht aber nur "-". was bedeutet das jetzt? mit absicht verschleiert? oder war es nur ein ping von der kommandozeile aus?
Nein ein ping war es nicht, es war schon ein HTTP Request der richtigerweise im HTTP - Logfile landet. Solche Requests können auch mit Programmen oder Scripts gemacht werden wobei der Referer sowie der UserAgent gefaked werden kann.
Viele Grüße, Rolf
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?-
Moin,
und welcher nutzen zieht sich aus soetwas? der server wird von solchen billigen anfragen wohl kaum in die knie gehen...
gruß.
roger.-
Hi,
bei 50000 Anfragen pro Stunde kann das denke ich ein anderes Problem geben:
Angenommen deine 404-Fehler-Datei, die der Apache liefert, wenn er die Seite nicht findet ist 1 KB groß (rein theoretisch).50000 * 1KB = 50 MB Traffic pro Stunde
Oder täusch ich mich da?
Viele Grüße
Hubert-
Hello,
Angenommen deine 404-Fehler-Datei, die der Apache liefert, wenn er die Seite nicht findet ist 1 KB groß (rein theoretisch).
50000 * 1KB = 50 MB Traffic pro Stunde
Gute Überlegung. Und der Request selber schluckt auch noch ein bisschen was. Zu Telebum-Konditionen wären das schon mal über 500Euro im Monat. *ächz*
Und das ohne Content
Grüße
Tom
-
Hello,
naja, dann muss derjenige auch viel zeit mitbringen. spätestens nach einem tag (das ganze hat "nur" 2 stunden gedauert) hab ich das problem mitbekommen und zumindest seine ip gesperrt. wenn er dann weiter faxen macht, kann ich ja mal einen freundlichen brief an ihn schreiben. schließlich hat er einen telekom account benutzt :D
aber ne dos attacke ist doch meisten ein angriff der von vielen verschiedenen rechnern auf ein system gerichtet ist. ein user macht da nicht allzuviel aus.
ausserdem gibt es mir rätsel auf:- warum eine url mit diesem // drin
- warum diese url, die sonst nirgends gelistet ist... ?
gruß.
roger.
-
-
-
Moin,
und welcher nutzen zieht sich aus soetwas? der server wird von solchen billigen anfragen wohl kaum in die knie gehen...
doch, siehe untenstehende Rechenbeispiele. Kleine Ergänzung: solche Attacken werden auch DoS genannt, Denial of Service. Nun, da einer alleine mit DoS Attacken einen Server nicht gleich in die Knie zwingen kann - dafür gibt es DDoS: Distributet Denial of Service Attacks.
Sowas muss natürlich vorbereitet werden: Der Angreifer versucht mit verschiedenen Mitteln auf verteilten Systemen ein Programm zu installieren was zu einem bestimmten Zeitpunkt zuschlägt. Von Interesse sind solche verteilten Systeme die eine permanente Verbindung ins Internet haben, z.B. Nameserver, Webserver... Gelingt es dem Angreifer auf vielen solcher Systeme sein DoS Programm zu installieren, kann eine DDoS Attacke sehr wirksam sein. Z.B. auf einen Server wo ab einem bestimmten Tag irgendein Verkauf stattfinden soll - an diesem Tag ist der Verkauf *gelaufen*, zumal sich solche Angriffe wiederholen können. Einen richtigen Schutz dagegen gibt es zu diesem Zeitpunkt nicht mehr. Der *Gebeutelte* kann nun höchstens im Nachhinein seine Logs auswerten und schauen wo die Angriffe herkamen... auf jeden Fall sind dann auch die *Beteiligten* die Doofen weil mitschuldig.
Viele Grüße, Rolf
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?-
Hello,
für solche Attacken werden dann gerne Fernsteuerprogramme benutz wie z.B der Thorn-Deamon.
Wenn der erst einmal auf dem System ist, hat man kaum noch eine Chance, da er auch Systemprogramm "umprogrammiert". Das erkennt man am leichtesten daran, dass die Filegröße nicht mehr stimmt.
Man bekommt von den Programmen dann weder eine ehrliche Antwort auf seine Anfrage noch ist man davor sicher, dass JEDER Aufruf diese infizierten Programms den Deamon nicht neu installiert.
Die Universität Linz hat für die Verfplgung dieder Delikte eine sehr gute Fachabteilung eingerichtet und freut sich über jeden qualifizierten Input.
Übrigens stellen sich Access-Provider gerne blöd, wenn man sie um Hilfe bei der Einkreisung des Problems bittet. (Sie verdienen ja am Traffic) Allerdings gibt es inzwischen genügend Urteile, die ein "wir wissen von nix"-Verhalten mit Beihilfe zum Betrug in Verbindung bringt.
Die ganze Kommunikation dieser ferngesteuerten Programme findet i.d.R. nämlich über ICMP statt, da das Protokoll eine erhebliche Sicherheitlücke ermöglicht. ICMP wird aber allegemein fast nur noch für PING benötigt. Ein vermehrtes Auftreten dieser Protokollpackete ist also immer ein zeichen für den Befall mit DDoS-Programmen.
Tom
-
-
-