Am Mittwoch 06 Januar 2010 schrieb Bjoern Meier: > Am 6. Januar 2010 11:57 schrieb Pawel Slabiak > <p.slabiak@linux-services.org> > > > Philipp Flesch wrote: > >> Hi! > >> Bei meinem wöchentlichen Blick in die Webserver-Logs habe ich wieder > >> nette > >> > >> xxx.xxx.xxx.97 - - [05/Jan/2010:15:38:07 +0100] "GET > >> /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 412 "-" "-" "-" [...] > Mich haben diese Teile auch genervt. Meine Lösung: > > 1.) mit mod_security die anfrage filtern, loggen, fehler 500 angeben, > ein eigenes errordocument zurückgeben (könnt ihr unter > http://www.deliancourt.de/ testen sobald ihr w00tw00t abfragt) und ein > script ausführen lassen > 2.) script schreibt ip in eine blacklist > 3.) ein script im Background setzt die ip auf DROP in einer gesonderten > chain. > 4.) alle tcp pakete mit dport 80 und 443 werden auf diese Chain erstmal > umgeleitet > 5.) mit cronjob die Chain einmal am tag säubern Funktioniert jedenfalls ;-) Wie aufwendig war es denn, das einzurichten? Für meinen kleinen virtuellen Server lohnt es sich glaub nur, wenn es wirklich mit ein paar Handgriffen an den Start zu bringen ist. Ich hab bislang nur mod_evasive am Laufen, falls jemand Brute Force- Zugriffe versucht, gibts für eine Zeit lang forbidden (ohne iptables). Anyway, ich glaub, ich ignoriere es weiterhin und vertraue auf cron-apt und die Sicherheit meines minimalen PHP-Skript-Gedöns, das nicht auf Eingaben von außen reagiert. -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.