looks like it is all from the same IP, which you can block, or even better, redirect their request to <a href="http://127.0.0.1">127.0.0.1</a>.<br><br>I haven&#39;t seen anything like this in my logs (yet)<br><br><div class="gmail_quote">
On Jan 28, 2008 10:23 AM, Larry Colen &lt;<a href="mailto:lrc@red4est.com">lrc@red4est.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I ran into a problem today when /var was out of space. I&#39;ve been<br>getting hammered by someone at <a href="http://83.156.199.176" target="_blank">83.156.199.176</a> trying to find every<br>file on my webserver, even trying things that aren&#39;t there. They&#39;re<br>
currently up to half a million hits:<br><br>red4est:/var/log/apache# grep <a href="http://83.156.199.176" target="_blank">83.156.199.176</a> access.log* | wc<br>&nbsp;521667 11475308 102207788<br><br>They seem to be running some sort of dictionary attack on my<br>
webserver, then tracking down anything they find, even going so far as<br>to append dates to some of the strings:<br><br>access.log:<a href="http://83.156.199.176" target="_blank">83.156.199.176</a> - - [28/Jan/2008:09:52:08 -0800] &quot;GET /lrc/pix/larry030813/ HTTP/1.1&quot; 404 298 &quot;-&quot; &quot;Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7&quot; &quot;-&quot;<br>
access.log:<a href="http://83.156.199.176" target="_blank">83.156.199.176</a> - - [28/Jan/2008:09:52:08 -0800] &quot;GET /lrc/pix/larry030814/ HTTP/1.1&quot; 404 298 &quot;-&quot; &quot;Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7&quot; &quot;-&quot;<br>
access.log:<a href="http://83.156.199.176" target="_blank">83.156.199.176</a> - - [28/Jan/2008:09:52:08 -0800] &quot;GET /lrc/pix/larry030815/ HTTP/1.1&quot; 404 298 &quot;-&quot; &quot;Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7&quot; &quot;-&quot;<br>
access.log:<a href="http://83.156.199.176" target="_blank">83.156.199.176</a> - - [28/Jan/2008:09:52:08 -0800] &quot;GET /lrc/pix/larry030816/ HTTP/1.1&quot; 404 298 &quot;-&quot; &quot;Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7&quot; &quot;-&quot;<br>
<br>Is this some common attack? Or am I just lucky?<br><br>Did my STFU message piss someone off?<br><br><br><br>--<br> &nbsp; &nbsp; &nbsp; &nbsp; An intermediate dancer is someone who knows just enough<br> &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; to not know what they don&#39;t know.<br>
Larry Colen &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; <a href="mailto:lrc@red4est.com">lrc@red4est.com</a> &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<a href="http://www.red4est.com/lrc" target="_blank">http://www.red4est.com/lrc</a><br><br><br>_______________________________________________<br>
svlug mailing list<br><a href="mailto:svlug@lists.svlug.org">svlug@lists.svlug.org</a><br><a href="http://lists.svlug.org/lists/listinfo/svlug" target="_blank">http://lists.svlug.org/lists/listinfo/svlug</a><br></blockquote>
</div><br>