Fragen und Antworten > Beagle-Wurm legt Webserver lahm
http://www.hybrid.de/wissen/wissen013.htm
Artikel erstellt am: 15.03.2005
Achtung! Sie dürfen gerne auf diesen Artikel verlinken. Bitte teilen Sie uns einen Link per email an webmaster@hybrid.de mit. Kopieren nur nach vorheriger Genehmigung durch die Hybrid GmbH.
Stichpunkte:
zutreffende Betriebssystem/e:Webserver
Der aktuelle Beagle-Wurm (je nach Firma AG, AH oder AI) versucht von einer ganzen Reihe von Web-Servern eine Seite "o.php" abzurufen. Vor allem kleinere Sites haben mittlerweile Probleme, die Last der Zugriffe zu verarbeiten und sind nicht oder nur noch schwer zu erreichen. Betroffene berichten von mehr als hundert Anfragen pro Sekunde.
Arne Oberdieck, technisch Verantwortlicher für Schulen-ans-Netz.de empfiehlt zwei Maßnahmen: Zum einen sollte man eine leere Datei "o.php" anlegen. Deren Auslieferung erzeugt deutlich weniger Systemlast als eine entsprechende Fehlermeldung (404). Des weiteren rät er geplagten Admins, in der Server-Konfiguration die KeepAlive-Funktion zu deaktivieren, was die Systembelastung weiter senkt. Nach diesen beiden Änderungen war zumindest der Schulen-ans-Netz-Server wieder erreichbar.
Der Administrator von BerlinOnline.de hat ähnliche Erfolge mit folgender Ergänzung zur Apache-Konfiguration erzielt:
<LocationMatch "^/o.php">
Order Allow,Deny
Deny from all
ErrorDocument 403 "Sorry
SetEnv nokeepalive
SetEnv downgrade-1.0
SetEnv force-response-1.0
</LocationMatch>
Michael Stegmann von Network Design hat auf dem von ihm betreuten IIS-Server .php auf ASP.NET umgeleitet. Er empfiehlt ebenfalls, statt eines Fehlers eine leere Datei zurückzuliefern, da Fehlerdokumente (Status 4xx) von Proxies und Caches nicht zwischengespeichert werden. Der folgende ASP-Code in "o.php" setzt deshalb extra ein hohes Verfallsdatum.
<%@ Page Language="C#" Debug="false" EnableSessionState="false"
EnableViewState="false" %> <%
Response.Clear();
Response.ContentType = "text/plain";
Response.Cache.SetExpires(DateTime.Now.AddDays(30));
Response.Cache.SetCacheability(HttpCacheability.Public);
Response.Write("not allowed");
%>
Siehe dazu auch:
Viren-Hilfe von Arne Oberdieck
und
Virenbeschreibung von Symantec (mit Liste der betroffenen Domains)
