Hacker unerwünscht – mod_rewrite kann helfen

12. Juli 2009 0 Von Nico Rehmann

Nachdem ich heute mehrere Angriffe von Hackern auf eine Foren-Applikation hatte und mir der Server heute den Dienst versagte habe ich mich dazu entschieden mod_rewrite zu nutzen um den Angriff abzuwehren.

Der Angriff

Die Speicherauslastung des Servers ging in den letzten Wochen auf unübliche Weise nach oben. Sogar der virtuelle Speicher wurde benötigt der noch nie genutzt werden musste. Die Auswertung der Logfiles ergab, dass es sich nicht um einen Angriff von einer IP handelte sondern um einen Angriff über mehrere IPs. Es schien fast so, als wären mehrere Rechner von dem Angreifer infiziert worden und dienten als Zombi-PCs. Die IP Adressen zeigen auf UK, Norwegen etc.

Aus den Logfiles konnte ich die Betriebssysteme der Angreifer erkennen. Äußerst merkwürdig war hierbei die Auswahl der Betriebssysteme. Darunter waren auch mehrere Linux-Derivate zu finden. Das wundert mich von daher, da typische Zombi PCs i.d.R. Windows Rechner sind.

Vielleicht soll dies auch nur in die Irre führen…

Die Lösung

Da das Forum nur ein Demo-Forum einer bestehenden Applikation war konnte dies deaktiviert werden.
Deswegen habe ich den folgenden Rewrite-Code in eine .htaccess Datei eingefügt.

RewriteEngine On
RewriteCond     %{HTTP_HOST}   ^28\.domain\.de$
RewriteRule     forum.php.*    http://www.weirdity.com/internet/eoti.html   [R=301,L]

  • Die Erste Option schaltet die Apache RewriteEngine an.
  • Die Zweite sorgt dafür, dass die Regel nur auf 28.domain.de angewandt wird.
  • Die dritte Option wird alle Zugriffe auf forum.php an eine bestimmte URL weiterleiten.

Eine Umleitung kostet den Server erheblich weniger Ressourcen als jedes mal die dynamischen Bestandteile der Webanwendung mitzuladen.

Das Resultat

Bisher hat diese Änderung ihren Erfolg gezeigt. Ich hoffe, dass dies auch so bleibt …