Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...

To: Debian User <debian-user-german@lists.debian.org>
Subject: Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...
From: Michelle Konzack <linux.mailinglists@freenet.de>
Date: Mon, 13 Jan 2003 15:04:26 +0200
Message-id: <[🔎] 3.0.6.16.20030113150426.437fd30a@pop3.01019freenet.de>
In-reply-to: <[🔎] 20030111170111.GK19261@jensbenecke.de>
References: <[🔎] 3E075B5C008A4DB9@mel-rta10.wanadoo.fr> <[🔎] 3E075B5C008A4DB9@mel-rta10.wanadoo.fr>

Hallo Jens, 

Am 18:01 2003-01-11 +0100 hat Jens Benecke geschrieben:
>
>On Wed, Jan 08, 2003 at 11:21:53PM +0000, Michelle Konzack wrote:
> 
>> habe in einem Netzwerk das problem, das jemand (oder auch mehrere) mir
>> mit den Webservern Sch... macht. Habe rund ein dutzend verschiedener
>> requests ueberprueft und sie kommen von proxies...
>> Kann squid erkennen, das ein http-Request von einem proxy stammt ?
>
>Squid oder Apache?

Wie meinst Du das ? 
Bis jetzt habe ich nur den Router (internet - Intern) und den Web-Server. 

Dachte das ich auf den Router squid aufsetze um die Kacke abzufangen... 

Habe rund 80 bis 450 Zugriffe pro Sekunde auf den Web-Server... 
Allerdings nicht regelmaessig. Das Ding probiert so ziehmlich alles 
aus, was man zum hacken verwenden kann. 

/scripts/root.exe 
/scripts/login.exe 
/cgi-bin/mail.pl
usw... 

Habe so um die 8000 verschiedene Versuche auf den Apache zu kommen. 

>> Und wenn ja, wie blockt man Zuriffe, die ueber einen proxy laufen.
>
>Manche(!) Squids setzen HTTP_X_FORWARDED_FOR auf die Ursprungs-IP. Das
>kannst du mit mod_rewrite oder ähnlichem auf dem Webserver abfangen.

So was gibt es leider nicht in den Logs... 

>> Oder kann man das irgendwie bereits mit irgendwelchen filtern auf dem
>> Router machen ? Die Kiste wird ein AMD Duron 900 weil ich nichts
>> kleineres mehr bekomme (ebenso gibt es keine kleinen Boards mit 6
>> PCI-Slots) und es stehen somit jede menge Resourcen zur verfuegung.
>
>Ich bezweifle daß das was bringt. Was für einen "Sch..." machen die
>Leute mit den Webservern eigentlich?

S.o. 

Also der Webserver haengt ueber den Router am internet (eine E1 
mit 128/512 kBit). 

Im Webserver befindet sich allerdings eine zweite Netzwerkkarte 
die an ein internes netzwerk gekoppelt ist, auf dem mehrere 
Datenbank-Server sowie nfs-Server laufen. Das habe ich gemacht, 
damit nicht irgendwie durch zufall die SQL-Server im oeffentlichem 
Netzwerk entdeckt werden. (Ausserdem spart es IP's) 

Was mich interessiert ist, woher die original Anfragen kommen. 

Die Proxy-Betreiber (in den USA) wollte mir keine Auskunf geben. 

Danke 
Michelle

Reply to:

Follow-Ups:
- Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...
  - From: Jörg Schütter <joerg@schuetter.org>
- Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...
  - From: Jens Benecke <debian-user-german@jensbenecke.de>

References:
- Interne Webserver fuer Zugriffe ueber Proxies sperren...
  - From: Michelle Konzack <linux.mailinglists@freenet.de>
- Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...
  - From: Jens Benecke <debian-user-german@jensbenecke.de>

Prev by Date: postgresql als Master und SLAVE (backup)
Next by Date: Re: Emacs und Shell
Previous by thread: Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...
Next by thread: Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...
Index(es):
- Date
- Thread