lange Antwortzeiten des Webservers – Brute-Force Angriff auf Webseite

Von | 27. September 2014
Ein Kommentar

kurze Info am Rande:  Irgend welche Deppen haben gerade eine Brute-Force-Attacke auf eine Seite gefahren, welche auf meinen Server gehostet wird.

die gute Nachricht

Ich hab die IP-Adressen über iptables gesperrt und die PHP-Worker sind wieder zur Ruhe gekommen. Die Antwortzeiten sind wieder besser.

die schlechte Nachricht

Ich musste dafür leider die Log-Files aktivieren. Zwar hilft auch netstat -t -n um sich ein Überblick über den Netzwerkstatus zu verschaffen. Aber man sieht nicht, welche Seite angegriffen wird und vor allem wie!

Und zum anderen:  Sobald die Deppen mitbekommen haben, dass Ihr Angriff ins Leere geht könnten Sie über andere Server ihre Angriffe weiterführen. Auf dieses Katz und Maus-Spiel habe ich jetzt aber eigentlich keine Lust.

Bevor jetzt jemand fragt:

Wie funktioniert das sperren einer IP mittels iptables

Dazu brauchen wir als erstes die zu sperrende IP-Adresse. Diese bekommen wir am besten aus dem Serverlog.


209.217.76.244 - - [27/Sep/2014:11:18:20 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
95.130.174.51 - - [27/Sep/2014:11:18:20 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:21 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
95.130.174.51 - - [27/Sep/2014:11:18:21 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:21 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
95.130.174.51 - - [27/Sep/2014:11:18:22 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:22 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:23 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
95.130.174.51 - - [27/Sep/2014:11:18:23 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"
209.217.76.244 - - [27/Sep/2014:11:18:24 +0200] "POST /wp-login.php HTTP/1.0" 200 3605 "-" "-"

damit haben wir jetzt schon mal 2 IP-Adressen welche versuchen sich auf eine WordPress Seite Zugang zu verschaffen: 209.217.76.244 & 95.130.174.51

diese sperren wir jetzt einfach mit:


iptables -A INPUT -s  209.217.76.244 -j DROP
iptables -A INPUT -s  95.130.174.51 -j DROP

Damit verwirft iptables jede Anfrage von diese Adresse (DROP) und der Server muss darauf nicht antworten. Das bringt die Systemlast wieder runter, hilft aber nicht bei massiven Angriffen. Die Anfragen erreichen ja trotzdem den Server und diese könnten unter Umständen die Netzanbindung auslasten.

Ein Gedanke zu „lange Antwortzeiten des Webservers – Brute-Force Angriff auf Webseite

  1. Pingback: Brute Force Angriffe auf Wordpress abwehren - my GettoWEB.DE

Kommentare sind geschlossen.