Am 6. Januar 2010 11:57 schrieb Pawel Slabiak
<p.slabiak@linux-services.org <mailto:p.slabiak@linux-services.org>>:
Philipp Flesch wrote:
Hi!
Bei meinem wöchentlichen Blick in die Webserver-Logs habe ich
wieder nette
xxx.xxx.xxx.97 - - [05/Jan/2010:15:38:07 +0100] "GET
/w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 412 "-" "-" "-"
Im Normalfall ignoriere ich so etwas ... bei all zu vielen
Anfragen schicke ich einmal eine E-Mail an abuse@
Frage an dieser Stelle:
Gibt es ein Tool (gefunden habe ich keines), dass aehnlich wie
rkhunter (mit einer Datenbank im Hintergrund) ueber die
Log-Dateien geht und mich ueber entsprechende Versuche informiert?
Danke schon einmal
Philipp
Hi Philipp,
ich kenne das Problem und habe es folgendermassen geloest:
1) Alle IP's der Angreifer kopiere in eine Datei namens w00tw00t_list.
2) Fuehre das Skript von unten in regelmaessigen Abstaenden aus (am
besten als Cronjob)
3)Ebenfalls in reglmaessigen Abstaenden solltest du die Liste der
Angreifer aktuallisieren (am besten mit einem shell script aus den
logfiles des Apaches)
#!/bin/sh
for ip in $(< w00tw00t_list); do
/sbin/iptables -I INPUT -s "$ip" -j DROP
/sbin/iptables -I OUTPUT -s "$ip" -j DROP
done
Ich hoffe es hilft dir ;=))
Mich haben diese Teile auch genervt. Meine Lösung:
1.) mit mod_security die anfrage filtern, loggen, fehler 500 angeben,
ein eigenes errordocument zurückgeben (könnt ihr unter
http://www.deliancourt.de/ testen sobald ihr w00tw00t abfragt) und ein
script ausführen lassen
2.) script schreibt ip in eine blacklist
3.) ein script im Background setzt die ip auf DROP in einer gesonderten
chain.
4.) alle tcp pakete mit dport 80 und 443 werden auf diese Chain erstmal
umgeleitet
5.) mit cronjob die Chain einmal am tag säubern
Gruss,
Björn