Thursday, 12. April 2007
Massnahmen gegen Trackbackspam
Ich hatte die letzten Tagen erhebliche Probleme mit meinem Server durch Trackbackspam.
Das s9y-Antispamplugin funktioniert zwar wirklich gut, es kommt von den Trackbacks eigentlich nicht viel an, allerdings wird trotzdem bei jedem Trackback ein entsprechender Slot im Apache belegt.
Sind die Slots eben alle voll, wird der Server erstmal nichtmehr auf HTTP-Requests antworten.
Wenn also letztendlich ein ganzes Botnetz Trackbacks absetzt, wird der Apache einiges zu tun haben.
Das s9y-Antispamplugin funktioniert zwar wirklich gut, es kommt von den Trackbacks eigentlich nicht viel an, allerdings wird trotzdem bei jedem Trackback ein entsprechender Slot im Apache belegt.
Sind die Slots eben alle voll, wird der Server erstmal nichtmehr auf HTTP-Requests antworten.
Wenn also letztendlich ein ganzes Botnetz Trackbacks absetzt, wird der Apache einiges zu tun haben.
Eine Loesung dafuer kommt von Isotopp. Er empfiehlt s9y so zu modifizieren, dass fuer die einzelnen Requests ein Timeout definiert wird.
So werden die Slots nicht ewig lange blockiert.
Hilft bei mir und anderen Leuten leider nur bedingt, da der Slot eben immernoch belegt wird.
Doomy hatte mir vorgeschlagen mod_security fuer den Apache entsprechend zu konfigurieren. Ehrlichgesagt bekomm ich das Modul zwar entsrpechend geladen, bin aber scheinbar nicht in der Lage es zum loggen zu bringen. Ausserdem ist mir das irgendwie noch ein wenig zu freundlich. Die Requests an den Apache kommen auch hier wieder rein, irgendwo springt ein Prozess an, verarbeitet das, schickt dann nen 403 oder $foobar zurueck, etc.
Inzwischen habe ich begonnen mir ein kleines Perlscript zu schreiben, welches das Logfile des Antispam-Plugins von s9y auswertet und eine entsprechenden Regel zu meinen Iptables hinzufuegt.
Wie ich es technisch am besten realisiere, die Regeln nach z.B. 48h einfach wieder zu verwerfen muss ich mir noch ueberlegen. Wenn hier jemand ne Idee hat wuerd ich mich freuen
Im Moment laeuft das Script seit ein paar Minuten und ich bin dafuer eigentlich ganz zufrieden.
Sieht dann so aus:
[root@kompost:/var/www/echox.de/blog] # ./tbWatch
Blacklisted 200.238.102.162
Blacklisted 216.75.2.22
Blacklisted 121.132.142.147
Blacklisted 200.238.102.170
Blacklisted 200.238.102.170
Blacklisted 200.238.102.170
Blacklisted 200.55.187.238
Blacklisted 67.175.6.113
[...]
[root@kompost:~] # iptables -L
[...]
Chain TRACKBACK (1 references)
target prot opt source destination
LOGDROP all -- 200.238.102.162 anywhere
LOGDROP all -- rhe4222.aspadmin.net anywhere
LOGDROP all -- 121.132.142.147 anywhere
LOGDROP all -- 200.238.102.170 anywhere
LOGDROP all -- 200.238.102.170 anywhere
LOGDROP all -- 200.238.102.170 anywhere
LOGDROP all -- 200.55.187.238 anywhere
[...]
[root@kompost:~] # grep Trackbackspam /var/log/messages|wc -l
352
Ich geh jetzt ins Bett und schau mir das morgen nochmal an.
So werden die Slots nicht ewig lange blockiert.
Hilft bei mir und anderen Leuten leider nur bedingt, da der Slot eben immernoch belegt wird.
Doomy hatte mir vorgeschlagen mod_security fuer den Apache entsprechend zu konfigurieren. Ehrlichgesagt bekomm ich das Modul zwar entsrpechend geladen, bin aber scheinbar nicht in der Lage es zum loggen zu bringen. Ausserdem ist mir das irgendwie noch ein wenig zu freundlich. Die Requests an den Apache kommen auch hier wieder rein, irgendwo springt ein Prozess an, verarbeitet das, schickt dann nen 403 oder $foobar zurueck, etc.
Inzwischen habe ich begonnen mir ein kleines Perlscript zu schreiben, welches das Logfile des Antispam-Plugins von s9y auswertet und eine entsprechenden Regel zu meinen Iptables hinzufuegt.
Wie ich es technisch am besten realisiere, die Regeln nach z.B. 48h einfach wieder zu verwerfen muss ich mir noch ueberlegen. Wenn hier jemand ne Idee hat wuerd ich mich freuen
Im Moment laeuft das Script seit ein paar Minuten und ich bin dafuer eigentlich ganz zufrieden.
Sieht dann so aus:
QUOTE:
[root@kompost:/var/www/echox.de/blog] # ./tbWatch
Blacklisted 200.238.102.162
Blacklisted 216.75.2.22
Blacklisted 121.132.142.147
Blacklisted 200.238.102.170
Blacklisted 200.238.102.170
Blacklisted 200.238.102.170
Blacklisted 200.55.187.238
Blacklisted 67.175.6.113
[...]
QUOTE:
[root@kompost:~] # iptables -L
[...]
Chain TRACKBACK (1 references)
target prot opt source destination
LOGDROP all -- 200.238.102.162 anywhere
LOGDROP all -- rhe4222.aspadmin.net anywhere
LOGDROP all -- 121.132.142.147 anywhere
LOGDROP all -- 200.238.102.170 anywhere
LOGDROP all -- 200.238.102.170 anywhere
LOGDROP all -- 200.238.102.170 anywhere
LOGDROP all -- 200.55.187.238 anywhere
[...]
QUOTE:
[root@kompost:~] # grep Trackbackspam /var/log/messages|wc -l
352
Ich geh jetzt ins Bett und schau mir das morgen nochmal an.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Kuck mal, es geht auch einfacher, wenn auch deine Lösung besser ist weil der Apache da gar nix mehr machen muss:
http://nodomain.cc/archives/2007/04/11/704-Spam-Trackbackkommentarflut.html
Was ist denn los? Ich habe in den letzten 15 Minuten ca. 50 Spam-Trackbacks bzw. -Kommentare bekommen? In den letzten Tagen waren es immer ein bis zwei Spameinträge pro Tag aber diese Flut ist jetzt richtig heftig. Kann das jemand von euch bestätigen?
Aufgenommen: Apr 12, 10:57
Genau wie echox und Fab (und vermutlich jeder andere Blogger) habe ich natuerlich auch mit Trackback-SPAM zu kaempfen. Von Monat zu Monat wird ess immer mehr. Allein letzten Monat hat mod_security >670.000 Trackback SPAM Versuche geblockt. Dann noch A
Aufgenommen: Apr 13, 08:44