Lonesome Walker

My goodness, don’t you remember, when you went first to school,
you went to kindergarten and in kindergarten, the idea was to
push along so to get into first grade, and then push along so that you could get into second grade, third grade and so on, going up and up.

And then you went to high school and this
was a great transition in life; and now the pressure is being put on you must get ahead, you must go up the grades and finally be good enough to get to college.

And then when you get to college, you’re still going step by step, step by step, up to the great moment in which you’re ready to go out into the world.

And then when you get out into this famous world… comes…
the struggle for success in profession or business.

And again there seems to be a ladder before you, something for which you are reaching all the time.

And then…

Suddenly, when are about forty or forty-five years old in the middle life, you wake up one day and say:

„Ah, I’ve arrived.
And by now I feel pretty much the same as I’ve always felt.
And i’m not that sure that i don’t feel a little bit cheated.“

Because you see you were fooled, you were always living
for somewhere where you aren’t.

And while as I said it is of tremendous use for us, to be able to look ahead in this way and to plan.
There is no use planning for a future which when you get to it and it becomes a present, you won’t be there.

You’ll be living in some other future which hasn’t yet arrived.

And so in this way, one is never able actually to inherit and enjoy the fruits of ones actions.

You can’t live at all.

Unless you can live fully, now.

So, nach ein paar Stunden Studierens, woher denn der Wind weht, wußte ich endlich, welcher Domain auf dem Server der DoS galt.
(bei Multi-IP-Umgebung kann das schon mal ein Weilchen dauern…)

So, als Allererstes:
wer auf seiner Linux-Büchse kein iptables hat -> sorry, selber schuld

Aber jetzt mal der Reihe nach:
wir suchen uns auf der Konsole mal die IP-Adressen raus, die verdächtig nach slowloris stinken

netstat -ant | grep TIME_WAIT | awk '{ print $5}' | cut -d ":" -f 1 | sort | uniq -c

Soooo, da haben wir ja schon potentielle IP’s, die wir mittels whois mal auf deren Ursprungsland testen.
Die meisten werden irgendwelche Russen, Chinesen, Franzosen, oder ger00tete Amerikaner sein.

Diese sperren wir der Reihe nach mit:
hier.die.ip.0/24
um auch gleich die potentiell benachbarten Leute freundlich aber bestimmt draußen zu halten
iptables -A INPUT -s hier.die.ip.0/24 -j DROP

Und flutsch, schon wird erst mal alles von der IP-Range gedroppt.

Das jetzt erst mal für 5-10 IP’s machen, mehr sind es bei slowloris selten.
(ansonsten ruhig ein paar mehr machen…)

So, jetzt setzen wir aber mal noch ein paar weitere Filter in die Firewall, um das auch für die Zukunft schön schwer zu machen:
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 8 -j DROP
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowdos --set
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowdos --update --seconds 15 --hitcount 15 -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

So, und ab hier sollte man dann in Verbindung mit mod_evasive sehen, wie sich sein Webserver wieder erholt hat 🙂

Hmmm, Nightshift… 🙂

Heute wieder herrlich ruhig 😛
(und langsam habe ich alle Lieder von Yann Tiersen durch…)