Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Hacker aussperren ?

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Benutzeravatar
Kurt M
Hacker
Hacker
Beiträge: 408
Registriert: 24. Sep 2004, 12:39
Wohnort: Bayrischer Wald
Kontaktdaten:

Hacker aussperren ?

Beitrag von Kurt M »

gibt es eine Funktion in Apache2 die so ungefähr folgendes tut:
wenn von einer IP unsinnige Anfragen kommen, dann ignoriere diese für zB einen Tag.

Man sieht im Log öfters einen Haufen Müll, da wäre es ganz nett wenn man diese IPs für eine gewisse Zeit aussperren könnte, also gar keine Antwort zurückschicken, nicht mal eine Fehlermeldung damit der Angreifer die Lust verliert.

Ich habe in meinem Log zB eine IP welche mir innerhalb von einem Tag ganze 10MB völlig verrückte Hexzahlen in den Server geschickt hat in über 1000 einzelnen Zugriffen. Natürlich sendete Apache immer eine Fehlermeldung zurück, aber besser wäre es vielleicht wenn er gar nicht antworten würde.

Ist nur so eine Idee, vielleicht Unsinn, aber vielleicht gibts ja eine Lösung ?
Snubnose
Hacker
Hacker
Beiträge: 410
Registriert: 18. Feb 2004, 19:19
Wohnort: Schwabenland

Beitrag von Snubnose »

hmm, also für anfragen auf falschen ports gibts portsentry
für sinnlose http-Anfragen kenn ich sowas nicht....
EdwinMosesPray
Newbie
Newbie
Beiträge: 4
Registriert: 19. Apr 2005, 10:51
Wohnort: Dinslaken
Kontaktdaten:

Beitrag von EdwinMosesPray »

Hallo !

Ich habe für unsere Firma ein Perl-Script geschrieben, dass "merkwürdige" Einträge im Maillog erkennt und per IPTABLES die entsprechende IP sperrt.

Das geht so:
Per Wörterbuch-Attacke wird versucht, aktive Mailadressen zu finden. Im Logbuch erscheint dann: "User unknown in local recipient table" und "Relay access denied". Das kleine Script erkennt diese Phrasen und filtert die IP raus. Anschließend wird die IP in einer History-Tabelle abgelegt und beim 3. Versuch per IPTABLES IP gesperrt (DROP, Port 25). Per Crontab wird die IPTABLES-Liste jeden Morgen um 10 Uhr gelöscht.

So ein Script kann man sicher auch mit FTP und HTTP Logbüchern machen.


MfG EdwinMosesPray
rethus
Advanced Hacker
Advanced Hacker
Beiträge: 1028
Registriert: 17. Sep 2004, 10:21
Wohnort: Kerpen
Kontaktdaten:

Beitrag von rethus »

wie wärs, wenn du das Script mal postest?
Hört sich sehr interessant an...
Dr. Glastonbury
Advanced Hacker
Advanced Hacker
Beiträge: 1149
Registriert: 20. Aug 2004, 12:27
Wohnort: München
Kontaktdaten:

Beitrag von Dr. Glastonbury »

Hi,
schau dir mal den mod_security an! http://www.heise.de/security/artikel/69070/0

Wenn du den Artikel auf Heise gelesen hast, dann sollten folgende Seiten auch noch interessant sein:
http://www.gotroot.com/mod_security+rules
http://www.gotroot.com/tiki-index.php?p ... rity+rules

hoffe das Hilft dir weiter - du musst mit den rules aber auch aufpassen und erstmal testen - damit machste z.B. n Forum schnell unbrauchbar, weil man dann z.B. nix mehr eintragen kann^^
Das Leben: hasse oder ignoriere es, lieben kannst du es nicht.
Benutzeravatar
Kurt M
Hacker
Hacker
Beiträge: 408
Registriert: 24. Sep 2004, 12:39
Wohnort: Bayrischer Wald
Kontaktdaten:

Beitrag von Kurt M »

ich habe letztes Jahr ein eigenes Programm für dieses Problem geschrieben. Hat sich gut bewährt, auch jetzt auf einem Rootserver. Das Programm kann auch SSH Eindringversuche sperren, sofern sie in der var/log/messages zu sehen sind.
Mehr Infos dazu hier:
http://www.linux-club.de/ftopic33232.html
Antworten