Hohe load (Notfallhandy) bearbeiten

Aus Glaskugel
Zur Navigation springen Zur Suche springen
1) aktive Domainaufrufe angeschaut
lynx --dump --width 200 -auth=monitor:MsdorRf2p3f http://localhost:7080/server-status | less
2) Eine IP "91.223.89.130" mit vielen Verbindungen zu "cardmart.de" gesehen
3) IP in der access-log angeschaut
cat /var/www/vhosts/system/cardmart.de/logs/access_log | grep 91.223.89.130 | less
4) Komische Einträge gefunden, vermutlich Angriff
91.223.89.130 - - [08/Dec/2016:14:03:06 +0100] "GET /cgi-bin/search.cgi HTTP/1.0" 404 380 "() { Referer; }; echo -e \"Content-Type: text/plain\\n\"; echo -e \"\\0141\\0143\\0165\\0156\\0145\\0164\\0151\\0170\\0163\\0150\\0145\\0154\\0154\\0163\\0150\\0157\\0143\\0153\"" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"
5) Einträge der IP gezählt (nur zum Spass)
cat /var/www/vhosts/system/cardmart.de/logs/access_log | grep 91.223.89.130 | wc -l
12623


6) IP-Adresse temp., bis zum reboot des Servers gesperrt
iptables -I INPUT -s 91.223.89.130 -j DROP


Nacharbeitung
- Bitte Kd per Mail informieren, der sollte diese IP-Adresse in seiner .htaccess aufnemen, ansonsten bitte direkt mit aufnehmen
- Eintrag im Bahnhof vornehmen, bla blubb hohe Load, da IP "" zu viele Anfragen gestellt hat, sieht nach Angriff aus. IP in .htaccess gesperrt, Kd informiert
Abgerufen von „https://wissen.hostingprimus.com/index.php?title=Hohe_load_(Notfallhandy)_bearbeiten&oldid=70