Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...
Hallo Jens,
Am 18:01 2003-01-11 +0100 hat Jens Benecke geschrieben:
>
>On Wed, Jan 08, 2003 at 11:21:53PM +0000, Michelle Konzack wrote:
>
>> habe in einem Netzwerk das problem, das jemand (oder auch mehrere) mir
>> mit den Webservern Sch... macht. Habe rund ein dutzend verschiedener
>> requests ueberprueft und sie kommen von proxies...
>> Kann squid erkennen, das ein http-Request von einem proxy stammt ?
>
>Squid oder Apache?
Wie meinst Du das ?
Bis jetzt habe ich nur den Router (internet - Intern) und den Web-Server.
Dachte das ich auf den Router squid aufsetze um die Kacke abzufangen...
Habe rund 80 bis 450 Zugriffe pro Sekunde auf den Web-Server...
Allerdings nicht regelmaessig. Das Ding probiert so ziehmlich alles
aus, was man zum hacken verwenden kann.
/scripts/root.exe
/scripts/login.exe
/cgi-bin/mail.pl
usw...
Habe so um die 8000 verschiedene Versuche auf den Apache zu kommen.
>> Und wenn ja, wie blockt man Zuriffe, die ueber einen proxy laufen.
>
>Manche(!) Squids setzen HTTP_X_FORWARDED_FOR auf die Ursprungs-IP. Das
>kannst du mit mod_rewrite oder ähnlichem auf dem Webserver abfangen.
So was gibt es leider nicht in den Logs...
>> Oder kann man das irgendwie bereits mit irgendwelchen filtern auf dem
>> Router machen ? Die Kiste wird ein AMD Duron 900 weil ich nichts
>> kleineres mehr bekomme (ebenso gibt es keine kleinen Boards mit 6
>> PCI-Slots) und es stehen somit jede menge Resourcen zur verfuegung.
>
>Ich bezweifle daß das was bringt. Was für einen "Sch..." machen die
>Leute mit den Webservern eigentlich?
S.o.
Also der Webserver haengt ueber den Router am internet (eine E1
mit 128/512 kBit).
Im Webserver befindet sich allerdings eine zweite Netzwerkkarte
die an ein internes netzwerk gekoppelt ist, auf dem mehrere
Datenbank-Server sowie nfs-Server laufen. Das habe ich gemacht,
damit nicht irgendwie durch zufall die SQL-Server im oeffentlichem
Netzwerk entdeckt werden. (Ausserdem spart es IP's)
Was mich interessiert ist, woher die original Anfragen kommen.
Die Proxy-Betreiber (in den USA) wollte mir keine Auskunf geben.
Danke
Michelle
Reply to: