[Gelöst] Wie kann ich ein Referrer blocken?

SkyMaster

schläft auf dem Boardsofa
Hallo, ich habe auf ein Server mit Suse 9.0 und Apache2 folgendes Problem.

Ich werde mit Anfragen uber den HTTP-Port total zugebomt (Referer), alle anfragen kommen von ein und der Selben Internetseite (ich werde sie hier nun vorsichtshalber nicht veröffentlichen)

Das Problemm ist das JEDE anfrage mit einer anderen IP kommt, leider ist das Problemm echt schlimm, da mein Port 80 nahezu unnutzbar geworden ist (durch die Zugriffe)

Kann ich irgenwie ALLE Anfragen Sperren die von dieser Internetseite Kommen ? Auch wenn jedesmal eine andere IP ist ? (das sind Hunderte Anfragen pro Sekunde !!!!

Wenn JA, seit so nett und erklärt es mit verständlich, den Ich bin nicht wirklich ein Linux Profi

Gruß
Andy
 
Zuletzt bearbeitet:
Das ist wohl eher ein Serverproblem, ich schiebe Dich mal rüber in den Netzwerkbereich.

Helfen kann ich leider nicht.
 
Öhm indirekt, den es ist ne einstellungsachen von Apache unter Linux :)

Es geht darum wie ich bei Apache ein Referer Blocken kann ;)
 
Klingt ziemlich direkt nach einem Serverproblem :) einem Linux-Serverproblem also wäre es bei Linux wohl auch gut augehoben gewesen.

Helfen kann ich dir mangels Erfahrung mit dem Indianer aber leider auch nicht. Aber Spezis ham se hier ja genuch nech war
 
>> Wie kann ich ein Referrer blocken ?

Generell - auf einem Server bringt das gar nichts.
Der soll ja grad mit dem Referer arbeiten, warum also blocken?

Und wenn der Referer von woanders kommt als deinem Server, hat
- grob gedacht - jemand ziemlich viele Dateien von dir verlinkt.
Und Referer soll sowas ja unterdrücken.

Aber ohne Plan überhaupt geht nix (n)
http://de.wikipedia.org/wiki/Referrer
 
Es soll ja nicht der Referrer blockiert werden, sondern das ausliefern von Daten an einen Client mit xy als Referrer.

ot:
Der Apache ist ein Server und bei Linux guck ich nicht rein. ;)


------------

Dieses Problem hatte ich vor paar Wochen gehabt. Nach Studium dieser Seite und Anpassung des Servers ist Ruhe.
 
Hallo Brummelchen, genau hier liegt das Problem wie vom MaXg angesprochen, dieser Ist UNGEWOLLT.

Es kann daher, weil auf einer Homepage jemand ein TopList geführt hat die Ansch. nicht so wirklich sauber war.
Das ergebniss ist erschrecken (z.B. ist meine LOG-Datei innerhalt vom 5 Stunden auf 13 MB Gestigen (ich denke das sagt alles...13 MB alks Textdatei in 5 Stunden) und die logdatei zeigt eigelich nur ein und das selbe....hier mal ein Kleiner auszugt aus der Access_Log

Sollte das mit der Liste so nicht genehmigt sein, so löscht sie bitte wieder oder editiert (bin nicht sicher ob das OK ist)

85.99.215.199 - - [27/Jun/2007:18:19:23 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; InfoPath.1)"
85.110.157.243 - - [27/Jun/2007:18:19:23 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.102.121.9 - - [27/Jun/2007:18:19:23 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.254.248.237 - - [27/Jun/2007:18:19:23 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.110.113.4 - - [27/Jun/2007:18:19:26 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
81.190.32.57 - - [27/Jun/2007:18:19:26 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DigExt)"
88.251.24.119 - - [27/Jun/2007:18:19:26 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.98.67.239 - - [27/Jun/2007:18:19:26 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
81.215.30.99 - - [27/Jun/2007:18:19:27 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
88.230.179.103 - - [27/Jun/2007:18:19:27 +0200] "GET /top100/button.php?u=celiksamet12 HTTP/1.1" 302 320 "http://www.sohbet.net/sohbettoplist/toplist.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts)"
88.230.11.244 - - [27/Jun/2007:18:19:27 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.229.92.96 - - [27/Jun/2007:18:19:27 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
88.226.69.9 - - [27/Jun/2007:18:19:27 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.254.254.126 - - [27/Jun/2007:18:19:28 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
213.169.107.81 - - [27/Jun/2007:18:19:28 +0200] "GET /favicon.ico HTTP/1.0" 404 1175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.243.247.225 - - [27/Jun/2007:18:19:30 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.100.242.179 - - [27/Jun/2007:18:19:30 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"
88.245.241.106 - - [27/Jun/2007:18:19:30 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322)"
88.239.28.106 - - [27/Jun/2007:18:19:30 +0200] "GET /top100//button.php?u=oyun HTTP/1.1" 302 320 "http://www.oyunyolu.net/kod.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"
88.228.191.152 - - [27/Jun/2007:18:19:32 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
81.213.138.142 - - [27/Jun/2007:18:19:32 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.235.20.172 - - [27/Jun/2007:18:19:33 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.110.13.69 - - [27/Jun/2007:18:19:33 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.245.43.102 - - [27/Jun/2007:18:19:34 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.103.89.27 - - [27/Jun/2007:18:19:34 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"
88.244.134.161 - - [27/Jun/2007:18:19:34 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
88.226.149.74 - - [27/Jun/2007:18:19:36 +0200] "GET /top100//button.php?u=cemsss HTTP/1.1" 302 320 "http://www.bizsohbet.net/toplistler.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.110.113.4 - - [27/Jun/2007:18:19:37 +0200] "GET /top100//button.php?u=5sohbett HTTP/1.1" 302 320 "http://www.5sohbet.net/sayfa1.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
 
Referer-Spam blocken :: network lab

Oder

Nimm doch einfach das Script /top100//button.php von deinem Server.
Das ändert aber nichts daran, das Logs geschrieben werden, dann halt eben das error_log.
Und bei 15 MB in 5 Stunden würd ich mir echt mal keine Gedanken machen.
Die Kiste hier schreibt im Schnitt 12 MB Logs in einer Stunde.
Hauptsache du rotierst die Logs ordentlich, sonnst is irgendwann die Platte voll ;)
 
Hallo SoKoBaN

Dein Gedanke habe ich natürlich schon von anfagn an gehabt :) aber sinnlos, ich habe die Liste gerade nicht auf dem Server (auch nicht als das Log erstellt wurde) ich habe den Server >komplett neu gemacht (Ohne Hompages, und SOFORT ist die Log damit wieder voll. (im Momend habe ich auch kein Homepages drauf)

Die 12 MB machen mir aber sorgen, den mein Indianer (Apache) streikt bei so vielen anfragen gleichzeitig, und geht dermassen in die Knie, das Nix mehr geht....und das Macht mir dann doch sorgen ;)

Gruß
andy
 
Egal wie, du kannst das nicht verhindern, das die Anfragen auf deinem Server landen.
Was ist das für ein Server? Weil normalerweise kann der Apache mit sehr viel mehr Anfragen gleichzeitig locker umgehen. Bei dir sind das 3-4 Requests pro Sekunde in dem Teil des Logs, welches du gepostet hast.
Das stellt für den Apache auf einem halbwegs aktuellen System kein Problem dar.

Einzig der Weg, die Aufgerufene URL oder IP Adresse (je nach dem, was aufgerufen wird) deines Servers oder den Apache Port zu ändern bleibt dir.
Alles das verhindert aber, das andere Seiten auf der Kiste nicht mehr unter den bisherigen Daten erreichbar sind.

Wenn das Script aber nicht mehr da ist, sollte der Apache einen 404 statt einem 302 liefern und in das error_log schreiben. Sonnst ist was kaputt ;)
 
Hallo SoKoBaN

Ja das ist in diesen Teil des Logs so, das wird nun auch zunehmen (zum Abend ) immer weniger) heute nacht ist dann fast ruhe, aber von Mörgen füht an bisz zum Nachmittag geht es dann richtig los :)

Ich habe Suse 9.0 drauf, Ich habe auch mal gelesen das mann bei den APACHE 2 die Anzahl der Zufriffe erhöhen kann! (irgeneine Einstellung) leider stand dort nicht WIE...und Ich als Totaler Linux-Newbie, weis nicht wo (evtl weist du das ja) den ggf. hilft das ja erst mal vorrübergehen wenn ich das höher schraube, das soll zwar dann den Server im Gesamten mehr belasten, aber da Habe ich noch etliche reserver frei (habe gerade mal ein Auslastung vom 3-5 % *grins*

Aber um auf deine Frage zurückzukommen, ich habe ein Dedizierten Root-Server

BS = Suse 9.0
Http = Apache 2
Mail = Postfix
Confixx 3.02
 
Halöchen, ich nochmal :)

Ich habe nun mal in der Config ein wenig rumgebastel, (habe was gelesen mit Rewrite :) (zum Blocken von URL)
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^www.5sohbet.net*$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^www.sohbet.net.*$ [NC]
RewriteRule .* - [F]
Ich bekome in der Access_log nach wie vor die ganzen anfragen angezeigt, nun steht allerdings in der error_log folgende meldung:

[Wed Jun 27 23:34:36 2007] [error] [client 88.234.177.204] Options FollowSymLinks or SymLinksIfOwnerMatch is off which implies that RewriteRule directive is forbidden: /srv/www/htdocs/web8/html/top100, referer: http://www.5sohbet.net/sayfa1.htm
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
[Wed Jun 27 23:34:38 2007] [error] [client 88.245.35.215] Options FollowSymLinks or SymLinksIfOwnerMatch is off which implies that RewriteRule directive is forbidden: /srv/www/htdocs/web8/html/top100, referer: http://www.5sohbet.net/sayfa1.htm

Was sagen mir diese Zeilen nun ?
Auf eine Art sehe ich das Durch den Eintrag irgenwas passiert ist was mit der Diomain zusammenhängt , doch auf der anderen Art sehe ich doch das er immer noch versucht das Scribt zu finden (was ja i.M. nicht auf dem Server ist)

Kann mir jemend sagen, ob das nun was wirksam aktive ist durch mein eintrag ?

Gruß
Andy
 
Also ich schreibs nochmal langsam...
Alles was zu deinem Webserver führt, wird auch behandelt.
Egal ob du das Script löschst oder umleitest.
Und wieso willst du per mod_rewrite auch noch was umleiten, wenn der Server nach deiner Aussage schon so in die Knie geht?
Es gibt sicher viele Möglichkeiten aber einen DoS auf den eigenen Server via HTTP mit mod_rewrite abwehren zu wollen ist Unfug. Damit zwingst du dem Serer noch mehr Last auf.

Mit deiner rewrite Rule sagst du dem Server, das er auf Anfragen mit diesem Referer ein 403 ausgeben soll.
Wenn du das Script einfach löschst kommt ein 404.
Beide Male werden Logs geschrieben und Last erzeugt weil die Anfrage ja behandelt wird, verstanden?
Du mußt es so lösen, das es garnicht erst beim Apache ankommt.
Das erreichst du, in dem du die Domain/IP des Servers oder den Standartport des Apache änderst.
 
Hallo SoKoBaN

Ich finde es sehr nett das du mir hilfst, mein Handeln ist einfach nur noch reine verzweiflung, seit nun fast 8 Tagen ist der server schlimmer wie jeder Free-Space der überlastet ist.

Da ich keine Ahnung von Linux habe (oder kaum) muss ich einfach JEDEN TIPP
Annehmen muss der mir gelifert wird. Unter anderen Sogar die Tipp von Anbieter selber (die aber auch erfolglois waren)

Ich habe bereite den mod_rewrite getestet, aber wie du schon schreibtst kein Bessereung (eher andersrum)

Ich habe den Time Out von 15 schon auf 1 Gesetzt (keine Änderung)
Ich habe den Keep alive verändert (keine Änderung)
Ich habe die Datein von server (kein änderung (auser den 404) in der Error_LOG
Ich habe nun alles versucht, was in meiner Macht steht, Ohne erfolg.
Ich habe bei Rechenzentrum nachgefragt ob die mein IP ändern können...NEIN können sie nicht (ich müsste dann den Server Kündigen und ein neuen Bestellen (incl. einrichtungsgebühr die nicht Ohne sind)

Kurz gesagt ich bin am ende :(

Ich habe noch ein 2.te IP von hosdter bekommen und der sagte ich soll die nutzen, aber das bekomme ich nicht hin, den die geht nur Virtuell wenn die erste Online Ist, inner wenn ich die erste wegmache o-Ä. dann geht gar nix mehr.

Ich habe dir mal eine PN gesendet, kannst ja mal reinschauen
 
Es ist logisch, das nichts mehr geht, wenn du die IP änderst, auf der der Apache Anfragen entgegen nehmen soll.
Denn die Domains zeigen ja allesammt auf die andere alte IP.
Du mußt nun alle Domains außer jener, welche auf das top100 script zeigt der neuen IP zuordnen. Je nach dem ob du selbst einen Nameserver laufen hast oder die Domains irgendwo bei einem Hoster verwaltest mußt du das da einstellen.
Wenn du allerdings nur eine Domain hast unter der alles läuft, kannst du das vergessen. Dann musst du mit dem Problem leben.
Notfalls kannst du versuchen mit dem Host, von welchem die Anfragen kommen Kontakt aufzunehmen oder entsprechend ein Abuse an den Hoster des Hosts absetzen.

Ich hab mir die IP's mal genauer angesehen.
Das hättest du aber auch machen können ;)
Die stammen fast ausschließlich von der Turk Telekom. Die kannst du relativ einfach aussperren.
Wenn du mit IP Tables umgehen kannst, dann direkt damit ansonnsten mit einer .htaccess mit folgendem Inhalt:
Code:
deny from 81.212.0.0/14
deny from 85.96.0.0/12
deny from 88.224.0.0/11
deny from 212.156.0.0/16
deny from 212.174.0.0/15
deny from 195.174.0.0/15
Das sind die am häufigsten genutzen IP Ranges der Turk Telecom.

Ich hab deine PN gelesen, kann aber heut nicht mit dir telefonieren, sry.
 
Hallo SoKoBaN

Zugegeben kann ich ansch. mit den IP Tables nicht umgehen :(

Was die 2.te Ip betrifft, natürlich habe ich alles umgestellt, sämtliche Domains zeigten auf die 2te IP. (aber Ohne erfolg)
(da kann etweder nur ein Seite kann nicht gefunden werden oder ich bin imer im Confixx gelandet :(

Ich hatte auf Anraten des Anbieters sogar die erste IP durch die 2te IP in den netzwerkeinstellung geändert, das ende war., das ich nich ausgespert hatte (kam über nix mehr rein) nur noch uber ein Seriele rettung Console

Tja, schaut schlecht aus :(
 
Mal was anderes...dir fehlen irgendwie sämtliche Grundlagen um einen eigenen Server zu betreiben. Ziehe mal einen managed Server in Betracht, dann kannst du mit solchen Problemen zu deinem Hoster gehen und sagen "kümmer dich".

Wenn du einer Domain eine neue IP zuweist, dann kann es Stunden, Tage oder auch Wochen dauern, bis der letzte DNS Server das gefressen hat. In dieser Zeit zeigt die Domain entweder auf die alte oder die neue IP, je nach dem, welchen DNS Server du in deinem Windows eingestellt hast oder welchen du dynamisch von deinem Provider zugewiesen bekommst.

Mach mal das, was ich geschrieben hatte, mit der .htaccess in dem Webroot, wo das Script lag oder von mir aus auch in der httpd.conf.
deny from 81.212.0.0/14
deny from 85.96.0.0/12
deny from 88.224.0.0/11
deny from 212.156.0.0/16
deny from 212.174.0.0/15
deny from 195.174.0.0/15

Dann werden Anfragen dieser IP's direkt verworfen und nicht weiter bearbeitet.
Bietet dein Hoster eine Firewall vor dem Server an?
Dann kannst du die IP Ranges auch da eintragen und generell den Zugriff verbieten.
81.212.0.0/14 entspricht einer Range von 81.212.0.1 bis 81.215.255.254.
 
Hallo SoKoBaN

Ich werde es nun einfach mal mit Letzter kraft versuchen :)

Was die geschichte mit dem DNS angeht, das ist mir schon klar, das habe ich bedacht :) Es ist ja aber auch so, das ich selbst mit der genanten IP dann kein Zufriff habe (und ein Domain habe ich schon auf die neue IP gestellt udn die zeigt auch auf dem Server ..

Nun ja ich werde für heute als Letzten versuch, das mit den eintrag versuchen, sage dann was bei rausgekommen ist, auf jeden fall schonmal ein riesen dank an dich!
 
Zu der Nachfrage geim Anbieter

Er mach rein Gar nichts (keine Firewall nix) ich habe sie mal gefragt was sie den machen bei ein managed Server machen würden, die Antwort war in der tat, auch nix, den da könnten sie nix machen (bei mein problem) auch bei ein managed Server müsste der kunde wohl aber übel sich ein neuen Server holen ! (verrückt, oder ? )
 
Oben