Re: versuchte Attacken auf Webserver ueber die Logs identifizieren
Philipp Flesch wrote:
Hi!
Bei meinem wöchentlichen Blick in die Webserver-Logs habe ich wieder
nette
xxx.xxx.xxx.97 - - [05/Jan/2010:15:38:07 +0100] "GET
/w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 412 "-" "-" "-"
Im Normalfall ignoriere ich so etwas ... bei all zu vielen Anfragen
schicke ich einmal eine E-Mail an abuse@
Frage an dieser Stelle:
Gibt es ein Tool (gefunden habe ich keines), dass aehnlich wie
rkhunter (mit einer Datenbank im Hintergrund) ueber die Log-Dateien
geht und mich ueber entsprechende Versuche informiert?
Danke schon einmal
Philipp
Hi Philipp,
ich kenne das Problem und habe es folgendermassen geloest:
1) Alle IP's der Angreifer kopiere in eine Datei namens w00tw00t_list.
2) Fuehre das Skript von unten in regelmaessigen Abstaenden aus (am
besten als Cronjob)
3)Ebenfalls in reglmaessigen Abstaenden solltest du die Liste der
Angreifer aktuallisieren (am besten mit einem shell script aus den
logfiles des Apaches)
#!/bin/sh
for ip in $(< w00tw00t_list); do
/sbin/iptables -I INPUT -s "$ip" -j DROP
/sbin/iptables -I OUTPUT -s "$ip" -j DROP
done
Ich hoffe es hilft dir ;=))
--
Pawel Slabiak Linux Services
Systemingenieur
http://www.linux-services.org
mailto: p.slabiak@linux-services.org
Linux Services - Dienste rund um Linux...
Reply to: