DDOS-Attacke durch Spammer

So macht das echt keinen Spass. Die System-Load auf meinem Server bewegt sich zeitweise jenseits der 50, Apache und MySQL gehen dementsprechend auf dem Zahnfleisch, manche Skripte laufen Amok weil sie in Timeouts laufen. Die Prozesstabelle zeigt fast nur noch httpd, ein Blick in dessen Logfiles offenbart ungewoehnlich viele Eintraege nach einem bestimmten Muster:

# egrep "wp-comments-post.php.*Maxthon" /var/log/apache/access.log | wc -l
23930

Natuerlich freue ich mich ueber Kommentare im Blog, aber das erklaert warum das Spam-Plugin in den letzten Tagen teilweise ueber 5000 Beitraege pro Tag weggefiltert hat. :-(

Mal sehen, wie viele Besucher Zombies das denn so sind:

# egrep "wp-comments-post.php.*Maxthon" /var/log/apache/access.log | cut -d " " -f 1 | sort -un | wc -l
393

OK, das schreit nach Gegenmassnahmen:

egrep "wp-comments-post.php.*Maxthon" /var/log/apache/access.log | \
cut -d " " -f 1 | sort -un | while read ip; do iptables -A INPUT -i eth0 -s $ip -j DROP; done

Mal sehen wie lange das jetzt vorhaelt. Spaetestens ein Reboot macht diese Erste-Hilfe-Massnahme wieder zunichte, aber die feine englische Art ist das ja eh nicht. Hat vielleicht jemand eine bessere Idee?

2 Kommentare

  1. Nachtrag: Maxthon ist auch schon in meiner mod_security Config:

    # grep Maxthon /apache/conf/mod_security/blog.pebcak.de/modsec.cfg
    SecFilterSelective HTTP_USER_AGENT „(MJ12bot|Maxthon|tropicdesigns|DigExt)“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

;-) :-) :-D :-| :-/ :-( :-P more »