Re: Interne Webserver fuer Zugriffe ueber Proxies sperren...
Hallo Michelle,
On Mon, 13 Jan 2003 15:04:26 +0200
Michelle Konzack <linux.mailinglists@freenet.de> wrote:
> Hallo Jens,
>
> Am 18:01 2003-01-11 +0100 hat Jens Benecke geschrieben:
> >
> >On Wed, Jan 08, 2003 at 11:21:53PM +0000, Michelle Konzack wrote:
> >
> >> habe in einem Netzwerk das problem, das jemand (oder auch mehrere) mir
> >> mit den Webservern Sch... macht. Habe rund ein dutzend verschiedener
> >> requests ueberprueft und sie kommen von proxies...
> >> Kann squid erkennen, das ein http-Request von einem proxy stammt ?
> >
> >Squid oder Apache?
>
> Wie meinst Du das ?
> Bis jetzt habe ich nur den Router (internet - Intern) und den Web-Server.
>
> Dachte das ich auf den Router squid aufsetze um die Kacke abzufangen...
>
> Habe rund 80 bis 450 Zugriffe pro Sekunde auf den Web-Server...
> Allerdings nicht regelmaessig. Das Ding probiert so ziehmlich alles
> aus, was man zum hacken verwenden kann.
>
> /scripts/root.exe
> /scripts/login.exe
> /cgi-bin/mail.pl
> usw...
Eine Brachial-Methode wäre eventuell Snort in verbindung mit iptables.
Sobald Snort einen Angriff auf Deine Webserver entdeckt sperrst Du
mittels iptables die Quell-IP-Adresse auf dem Router.
Sobald aber ein "Angriff" via Proxy gestartet wird, wird dem Proxy und
alle die diesen Proxy benutzen der Zugriff auf die Server verwehrt.
[...]
Gruß
Jörg
--
http://www.lug-untermain.de/ -
http://mypenguin.bei.t-online.de/
Dipl.-Ing. Jörg Schütter
joerg@schuetter.org
Reply to: