Blog wegen Angriff auf Websenat nicht erreichbar

Jetzt musste ich hier aber mal etwas härter durchgreifen als gedacht. Seit letztem Wochenende ist das Websenat Blog etwas schwer zu erreichen. Nicht wegen dem Server, sondern wegen irgendwelchen Skriptkiddies die meinen ihren tollen „Securityscanner“ mal an meinem Server auszuprobieren. Durch die andauernden Anfragen auf meinen Webserber (Apache 2) wird die Last auf dem Server zu hoch, so dass dieser dann den Webserver abschaltet. Dadurch sind das Websenat Blog und andere Websites nicht mehr erreichbar.
Nun habe ich entsprechende Gegenmassnahmen (per Firewall werden die IP-Adressen geblockt) vorgenommen, mal schauen ob dies schon reicht. Ansonsten werde ich andere Mittel ergreifen. Alle IP-Adressen die sich ein 1&1 Servern zuordnen lassen, werde ich entsprechend 1&1 melden.
Die Anfragen sind immer das gleiche (Auszug aus dem Logfile):

xxx.xxx.xxx.xxx – – [03/Apr/2009:23:04:53 +0200] „GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1“ 400 302 „-“ „-“
xxx.xxx.xxx.xxx – – [03/Apr/2009:23:04:54 +0200] „GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1“ 400 302 „-“ „-“
xxx.xxx.xxx.xxx – – [03/Apr/2009:23:04:54 +0200] „GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1“ 400 302 „-“ „-“
xxx.xxx.xxx.xxx – – [03/Apr/2009:23:04:56 +0200] „GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1“ 400 302 „-“ „-„

Anhand von „w00tw00t.at.ISC.SANS.DFind“ scheint es sich um das Tool DFind zu handeln. Dieser ist ein vulnerability Scanner, der den Server auf folgende Schwachstellen durchsucht (Symantec Hacktool.DFind):

Open TCP and UDP ports
HP Web JetAdmin
PSOProxy Server
HP Web Server
Microsoft Frontpage
Hacktool.Radmin
RealServer
Apache Servers
IIS servers
Windows Media Service
IPC$ shares without password protection.
Weak write permissions in Microsoft IIS web server.
Backdoor.OptixPro.10 and variants.
Dictionary attacks on SQL Servers
NULL/NTAuth/Passworded connections on Hacktool.Radmin
The CCBill webserver module
The PHPbb webserver module
The PHP-Nuke webserver module.
WebDav enabled on IIS5.0 webservers
The Microsoft Windows IIS Index Server ISAPI System-level Remote Access Buffer Overflow (MS01-033)
The Microsoft SQL Server MDAC buffer overflow (MS02-040)

Wenn es nur ein paar Anfragen wären, dann wär das noch okay. Aber in meinem Fall sind das hunderte/tausende am Tag! Werde auch mal anstreben meinen Server auf ein aktuelles Linux umzuziehen, damit der Apache nicht immer abstürzt.

Seit Blog-Gründung 2006 schreibe ich hier mal mehr, mal weniger in dieses Blog zu Themen die mich interessieren. Bin auch zu finden bei Twitter, Facebook, Instagram und Google+.

Leave a Reply

2 Kommentare

  1. hast du hier eigentlich rückmeldung von 1+1 bekommen bzgl. der gemeldeten IPs?
    hatte nämlich schon ähnliche probleme und meine versuche, irgendwen herauszubekommen, sind immer kläglich gescheitert.

    lg

  2. Ja, hab von allen eigentlich ne Antwort bekommen. Danach waren die Angriffe auch deutlich geringer.

Next ArticlevServer-Upgrade abgeschlossen