Re: versuchte Attacken auf Webserver ueber die Logs identifizieren

[Bjoern Meier <bjoern.meier@googlemail.com>]

hi,

Am 6. Januar 2010 16:41 schrieb Martin Steigerwald <Martin@lichtvoll.de>:

Am Mittwoch 06 Januar 2010 schrieb Bjoern Meier:

> Am 6. Januar 2010 11:57 schrieb Pawel Slabiak
>  <p.slabiak@linux-services.org>
>
> > Philipp Flesch wrote:
> >> Hi!
> >> Bei meinem wöchentlichen Blick in die Webserver-Logs habe ich wieder
> >> nette
> >>
> >> xxx.xxx.xxx.97 - - [05/Jan/2010:15:38:07 +0100] "GET
> >> /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 412 "-" "-" "-"

[...]

> Mich haben diese Teile auch genervt.  Meine Lösung:
>
> 1.) mit mod_security die anfrage filtern, loggen, fehler 500 angeben,
>  ein eigenes errordocument zurückgeben (könnt ihr unter
> http://www.deliancourt.de/ testen sobald ihr w00tw00t abfragt) und ein
> script ausführen lassen
> 2.) script schreibt ip in eine blacklist
> 3.) ein script im Background setzt die ip auf DROP in einer gesonderten
> chain.
> 4.) alle tcp pakete mit dport 80 und 443 werden auf diese Chain erstmal
> umgeleitet
> 5.) mit cronjob die Chain einmal am tag säubern

Funktioniert jedenfalls ;-)

Wie aufwendig war es denn, das einzurichten? Für meinen kleinen virtuellen
Server lohnt es sich glaub nur, wenn es wirklich mit ein paar Handgriffen
an den Start zu bringen ist.

Ich hab bislang nur mod_evasive am Laufen, falls jemand Brute Force-
Zugriffe versucht, gibts für eine Zeit lang forbidden (ohne iptables).

Anyway, ich glaub, ich ignoriere es weiterhin und vertraue auf cron-apt
und die Sicherheit meines minimalen PHP-Skript-Gedöns, das nicht auf
Eingaben von außen reagiert.

naja das w00t.html war das meiste:) 

eine zeile für die mod_security script.

Zwei bash-Scripte zum anlegen für iptables regeln. Wenn bedarf besteht könnte ich alles der Liste zur Verfügung stellen

Gruß,

Björn