> Am 6. Januar 2010 11:57 schrieb Pawel Slabiak
> <
p.slabiak@linux-services.org>
>
> > Philipp Flesch wrote:
> >> Hi!
> >> Bei meinem wöchentlichen Blick in die Webserver-Logs habe ich wieder
> >> nette
> >>
> >> xxx.xxx.xxx.97 - - [05/Jan/2010:15:38:07 +0100] "GET
> >> /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 412 "-" "-" "-"
[...]> Mich haben diese Teile auch genervt. Meine Lösung:
>
> 1.) mit mod_security die anfrage filtern, loggen, fehler 500 angeben,
> ein eigenes errordocument zurückgeben (könnt ihr unter
>
http://www.deliancourt.de/ testen sobald ihr w00tw00t abfragt) und ein
> script ausführen lassen
> 2.) script schreibt ip in eine blacklist
> 3.) ein script im Background setzt die ip auf DROP in einer gesonderten
> chain.
> 4.) alle tcp pakete mit dport 80 und 443 werden auf diese Chain erstmal
> umgeleitet
> 5.) mit cronjob die Chain einmal am tag säubern
Funktioniert jedenfalls ;-)