• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Hacker aussperren ?

Kurt M

Kurt M

Hacker
gibt es eine Funktion in Apache2 die so ungefähr folgendes tut:
wenn von einer IP unsinnige Anfragen kommen, dann ignoriere diese für zB einen Tag.

Man sieht im Log öfters einen Haufen Müll, da wäre es ganz nett wenn man diese IPs für eine gewisse Zeit aussperren könnte, also gar keine Antwort zurückschicken, nicht mal eine Fehlermeldung damit der Angreifer die Lust verliert.

Ich habe in meinem Log zB eine IP welche mir innerhalb von einem Tag ganze 10MB völlig verrückte Hexzahlen in den Server geschickt hat in über 1000 einzelnen Zugriffen. Natürlich sendete Apache immer eine Fehlermeldung zurück, aber besser wäre es vielleicht wenn er gar nicht antworten würde.

Ist nur so eine Idee, vielleicht Unsinn, aber vielleicht gibts ja eine Lösung ?
 
S

Snubnose

Hacker
hmm, also für anfragen auf falschen ports gibts portsentry
für sinnlose http-Anfragen kenn ich sowas nicht....
 
E

EdwinMosesPray

Newbie
Hallo !

Ich habe für unsere Firma ein Perl-Script geschrieben, dass "merkwürdige" Einträge im Maillog erkennt und per IPTABLES die entsprechende IP sperrt.

Das geht so:
Per Wörterbuch-Attacke wird versucht, aktive Mailadressen zu finden. Im Logbuch erscheint dann: "User unknown in local recipient table" und "Relay access denied". Das kleine Script erkennt diese Phrasen und filtert die IP raus. Anschließend wird die IP in einer History-Tabelle abgelegt und beim 3. Versuch per IPTABLES IP gesperrt (DROP, Port 25). Per Crontab wird die IPTABLES-Liste jeden Morgen um 10 Uhr gelöscht.

So ein Script kann man sicher auch mit FTP und HTTP Logbüchern machen.


MfG EdwinMosesPray
 
Dr. Glastonbury

Dr. Glastonbury

Advanced Hacker
Hi,
schau dir mal den mod_security an! http://www.heise.de/security/artikel/69070/0

Wenn du den Artikel auf Heise gelesen hast, dann sollten folgende Seiten auch noch interessant sein:
http://www.gotroot.com/mod_security+rules
http://www.gotroot.com/tiki-index.php?page=Which+mod_security+rules

hoffe das Hilft dir weiter - du musst mit den rules aber auch aufpassen und erstmal testen - damit machste z.B. n Forum schnell unbrauchbar, weil man dann z.B. nix mehr eintragen kann^^
 
OP
Kurt M

Kurt M

Hacker
ich habe letztes Jahr ein eigenes Programm für dieses Problem geschrieben. Hat sich gut bewährt, auch jetzt auf einem Rootserver. Das Programm kann auch SSH Eindringversuche sperren, sofern sie in der var/log/messages zu sehen sind.
Mehr Infos dazu hier:
http://www.linux-club.de/ftopic33232.html
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben