Conexoes porta 80

[APACHE !!!]

Pessoal estou tento problema no trágego do meu link por causa de requisições na porta 80, o problema é que parece existir maquinas com virús vindo da rede externa para meu servidor web e sao muitas maquinas... e isso esta gerando muito trafego, meu link fica full de conexoes..
acrescentei algumas regras no fw para minimizar o problema e abaixei o numero de requisições de conexoes simultaneas p/ o apache, mas nao adiantou muito nao.

Segue abaixo algumas mensagens do meu access.log do apache.

70.85.170.130 - - [03/Aug/2005:09:05:51 +0000] "GET http://vaclick.epilot.com/click.aspx...company.net%2F HTTP/1.1" 302 423 "http://www.aezsearch.com/smartppc4/s...ult=1&action=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; AtHome021SI; Q312461)"

70.115.210.68 - - [03/Aug/2005:09:05:52 +0000] "GET http://66.218.74.170/config/login?.r...na&passwd=bear HTTP/1.0" 200 3744 "-" "-"

61.153.251.186 - - [03/Aug/2005:09:05:52 +0000] "GET http://202.103.56.107:7000 HTTP/1.1" 400 307 "http://www.n-ku.com/blog/blog.asp?name=bigboyq" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 5.0; .NET CLR 1.1.4322)"

61.153.251.186 - - [03/Aug/2005:09:05:52 +0000] "GET http://202.103.56.107:7000 HTTP/1.1" 400 307 "http://www.n-ku.com/blog/blog.asp?name=bigboyq" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 5.0; .NET CLR 1.1.4322)"

201.8.169.242 - - [03/Aug/2005:09:06:02 +0000] "GET http://e4.member.ukl.yahoo.com/confi...g&passwd=bobby HTTP/1.0" 200 12432 "-" "-"

estao vindo conexoes referente a sites / dominios que nao existem no meu servidor web
como posso eliminar esse problema ?
URGENTE !!!!![/img]

[barretozol]

amigo , estou com o mesmo problema... Se conseguir resolver manda noticiais.... HELPHELPHELP

[irado]

isso aí tá mais parecendo um ataque DoS (ou DDoS). Acrescentar regras no seu firewall não adianta de nada, o link vai continuar ocupado, oras, uma vez que o tráfego VAI chegar à sua máquina.

Vc precisa pedir ao seu provedor para analisar o tráfego no roteador de borda, inicialmente, ou até mesmo nos demais dêle, para (eventualmente) trocar o seu IP-Address por algum outro que possa ficar imune - pelo menos por algum tempo.

O provedor pode (após análise) bloquear diretamente no roteador de borda êsse tráfego inútil.

Resumo: nada que vc possa fazer aí. E vc precisa analisar direito isso e o log (do Apache) não é o melhor lugar pra isso, precisa mesmo é analisar o tráfego diretamente.

tomei a liberdade de procurar algo no google, pra que vc analise se tem algo a ver com o que se passa. Se não tiver, bem...

flames > /dev/null

:twisted:

[barretozol]

Pois é, ja falei com a telefonica.. mas sabe como eles são né..

Fechei no iptables todo acesso externo a minha porta 80, pelo menos pra amenizar a situação... ficou melhor...

Engraçado que o Snort com regras pra resetar nao pegou nada disso..
E nele tem DDOS.

Mas valeu... obrigado

Marcelo

[Anderson - chro0t]

Opa pessoal, logo apos escrever esse TOPICO, decidi colocar a mão na massa para resolver esse problema e acabei Desenvolvendo um "SCRIPT EM PHP" que roda a partir do SHELL e le os logs do APACHE, Analisa certas partes de cada linha corrente e valida se é valido ou não, caso seja válido o tragedo passa direto, caso seja invalido, ele rejeitas as conexoes vindas do hosts. bloqueando com o route e nao pelo firewall q nao consegue barrar.
O SCRIPT roda de 5 em 5 minutos.... meu trafego voltou ao normal... mil maravilhas... agora estou somente aperfeiçoando p/ ficar mais funcional ainda... Valeu a todos e obrigado e abraços

Anderson
[email protected]

[barretozol]

Ola colega, passe mais detalhes desse scripts... Como isso em php poderia ajudar com um webserver sendo atacado por DDOS...

Ou talvez nao entendi o que vc disse acima

abs

marcelo

[Anderson - chro0t]

Pois é caro colega, trabalhei nesse script e os resultados estão sendo satisfatórios....
meu link esta ótimo...
Abraços,

Anderson

[maverick_cba]

Acho que nosso amigo fez uma analize da url proveniente do acesso, daí ele libera ou não. Lembrando que isso é possível de se fazer com o iptables, no caso dele basta rejeitar conexões vindas de domínios específicos ou faixas de ip.

Não precisa quebrar muita cabeça para bloquear acesso desse tipo de ataque.

Aqui onde trabalho, estavamos tendo um ataque na porta do nosso sql que estava aberta, daí como quem acessava era somente uma de nossas filiais, acabei crando uma regra que liberava somente acesso ao ip da filial.

Abraços,