21. October 2008, 17:26 | #1 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
Sicherheitsscript mag drei hiesige Member nicht mehr
Seit über zwei Jahren habe ich hier auf dem Server ein Script installiert, welches "gleichzeitige" Zugriffe von einer IP überwacht und bei einem eingestellten Wert, wenn er überschritten wird die auslösende IP automatisch per Serverfirewall sperrt. Nach einer frei einstellbaren Zeit wird diese wieder "entsperrt", aktuell 15 min.
Leider kommt es seit einiger Zeit vor, dass drei Member hier regelmäßig dem Script zum Opfer fallen. Das sind Tantchen, Sinadevil und noch jemand. Ich habe keine Ahnung was Ihr macht, aber mehr als 75 gleichzeitige Verbindungen sind nicht normal. Schwaller war früher auch einmal betroffen und hatte eine Lösung gefunden, vielleicht kann er ja diese hier einmal posten. |
21. October 2008, 18:01 | #2 |
Registriert seit: May 2007
Beiträge: 70
|
Tja, so fällt man auf! Verbotenerweise am Arbeitsplatz bei Skats eingeloggt .....
|
21. October 2008, 18:34 | #3 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
Das Script ist eigentlich dazu da, dass DDos Attacken erkannt und automatisch unterbunden werden, im dafür möglichen Rahmen.
Seit der Installation wehrt es ja auch regelmäßig Zugriffe dieser Art z.B. aus Rumänien, Bulgarien und China ab. Es sollte aber nicht anschlagen, wenn Member hier unterwegs sind. |
21. October 2008, 21:22 | #4 |
Registriert seit: August 2005
Beiträge: 160
|
nun - ich habe das problem in einer bestimmten versionskombination von opera und der sunbelt personal firewall gehabt.
konnte das jedoch leidre nie so richtig direkt dingfest machen momentan scheint aber alles wieder im normalen rahmen abzulaufen. (opera 9.60 und spf 4.6.1845) |
22. October 2008, 22:51 | #5 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
Ich habe nun den Schwellwert auf 115 gesetzt, Sina fliegt nämlich nach wie vor ständig raus.
Ich frage einfach nur, wie kommt es, dass eine Seitenanforderung über 100 gleichzeitige Verbindungen auslöst? Da muß doch etwas am Netzwerk falsch eingestellt sein, oder gehe von einer total falschen Seite das ganze an? |
22. October 2008, 23:17 | #6 |
Registriert seit: July 2004
Beiträge: 221
|
vielen dank
|
22. October 2008, 23:28 | #7 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
|
21. November 2008, 21:16 | #8 |
Registriert seit: August 2005
Beiträge: 160
|
also - wie ich schon schrieb, es liegt/lag zumindest bei mir definitiv an der sunbelt firewall.
genauer an dem eingeschalteten webfilter. daber spielt es keine rolle, ob die skats domain als site-ausnahme eingetragen ist oder nicht. sobald sie eingeschaltet wird, kommt es zu der hohen anzahl von verbindungen. |
3. March 2009, 23:38 | #9 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
Aktueller Stand:
Es fliegen zur Zeit und auch in letzter Zeit keine Member mehr diesem Script zum Opfer, allerdings ist seit gestern einer unterwegs, sogar mit deutscher IP, der ist nun statt 15 min. für 5 Stunden am Stück gesperrt ist. Er macht nämlich, versucht es jedenfalls, 385 gleichzeitige Verbindungen hier auf zu machen. Bingo, sofort geht die Serverlast auf ein Zehntel zurück. Morgen schau ich mir mal die Log Files an, was der eigentlich hier praktizieren wollte, Skatsseiten jedenfalls wollte er sich nicht anschauen. |
3. March 2009, 23:53 | #10 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
Und ein anderes Script meldet gerade:
The average number of logs between 23:00 and 24:00 is 269. We reached 520. Also ist dort seine Aktivität zu bewundern. Er wird sich bestimmt freuen, wenn ich seine IP in den Logs finde, bekommt er je nachdem was er hier versucht hat eine Anzeige. |
21. April 2009, 16:30 | #11 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
Neuer Rekord
Banned the following ip addresses on Tue Apr 21 17:25:01 CEST 2009
95.111.24.15 with 508 connections 508 gleichzeitige Verbindungen von einer IP hatte ich bis jetzt auch noch nie gesehen. Das die Bulgaren auch immer gleich so übertreiben müssen. |