[Postfixbuch-users] OT: tausende von HTTP Anfragen aus der ganzen Welt

"Frank J. Dürring" frank.duerring at condero.com
Mi Jul 1 16:40:28 CEST 2009 

Hallo zusammen,

das ist hier wirklich sehr Off Topic, deshalb ggf. auch die Antworten  
via PM.

Seit ca. einer Woche bekommen wir tausende von HTTP Anfragen vor allem  
aus Asien und Nordamerika, die von unserem internen Mail-Server  
(wahrscheinlich Zufall) Werbebanner holen möchten.

Hier ein Beispiel aus dem Logfile:
118.125.67.194 - - [01/Jul/2009:16:21:51 +0200] "GET http://www.accessteams.com/proxyheader.php 
  HTTP/1.0" 200 391 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT  
5.1; SV1)"
69.162.80.194 - - [01/Jul/2009:16:21:51 +0200] "GET http://ad.adserverplus.com/st?ad_type=iframe&ad_size=728x90&section=628065 
  HTTP/1.0" 200 391 "http://www.jointhecteam.com" "Mozilla/4.0  
(compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET  
CLR 3.0.04506)"
69.162.80.194 - - [01/Jul/2009:16:21:52 +0200] "GET http://ad.zanox.com/ppv/?12649126C2051709508 
  HTTP/1.0" 200 391 "http://ad.adserverplus.com/st?ad_type=iframe&ad_size=728x90&section=628065 
" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR  
2.0.50727; .NET CLR 3.0.04506)"
218.28.104.69 - - [01/Jul/2009:16:21:53 +0200] "GET http://www.adjal.com/42/545/15636/ 
  HTTP/1.0" 200 391 "http://www.insurance08.com/plus/list.php?tid=3"  
"Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
219.135.223.205 - - [01/Jul/2009:16:21:54 +0200] "GET http://ad.zanox.com/ppv/?12649126C2051709508 
  HTTP/1.1" 200 391 "http://www.goodtoknows.com/43.htm" "Mozilla/4.0  
(compatible; MSIE 7.0; Windows NT 5.1)"
118.125.67.194 - - [01/Jul/2009:16:21:56 +0200] "GET http://www.yahoo.com/ 
  HTTP/1.0" 200 391 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT  
5.1; SV1)"
211.192.25.173 - - [01/Jul/2009:16:21:57 +0200] "GET http://directleads.com/42/68635/41797/ 
  HTTP/1.0" 200 391 "http://www.businessfinance.com" "Mozilla/4.0  
(compatible; MSIE 5.0; Windows 98; Alexa Toolbar)"
218.61.33.238 - - [01/Jul/2009:16:21:57 +0200] "GET http://rover.ebay.com/ar/1/710-53481-19255-30/1?campid=5336338428&toolid

Anfangs kamen natürlich nur ein 404 Fehler, was unsere Leistung  
(16MBit) fast zum erliegen gebracht hat.
Inzwischen liefere ich ganz frech selbst einen Werbebanner (http://coyote.condero.net/ 
) aus, aber nur damit der Server möglichst wenig zu tun hat.

So wie es aussieht ist unsere IP irgendwie in einen Nameserver für  
Werbebanner geraten oder so und wir bekommen aus der ganzen Welt  
anfragen, in der letzten Woche immerhin 60GB.
Da ich den HTTP-Port leider nicht abschalten kann, weil wir die Kiste  
auch für andere Zwecke einsetzten, würde mich interessieren was ich  
den jetzt tun soll.
Hat jemand eine andere Idee als diese IP-Adresse komplett tot zu legen?

Vielen dank und noch mal sorry für den OT.

Gruß Frank...

Mehr Informationen über die Mailingliste Postfixbuch-users