Ich bin gerade dabei einen Windows 2003 Webserver eines Kunden auf Linux
zu migrieren. Jetzt mal abgesehen von den üblichen Problemen die man
dabei hat erwarte ich (D)DOS Attacken auf dem neuen Server, denn der
jetzige Server wird in regelmäßigen Abständen von DOS Attacken gequält.
Gottseidank waren es bisweilen nur DOS Attacken und nicht die
distributed Sorte davon, denn die Skript-Kiddies die dafür
verantwortlich zu machen sind, sind dann scheinbar doch nicht so clever
wie sie denken.
Um dem ganzen Theater gleich vorzubeugen habe ich mir überlegt das
ganze per iptables connlimit auf eine halbwegs vernünftige Anzahl
an Connections pro IP Adresse zu limitieren und wenn diese Anzahl
überschritten wird, dann soll jeder Traffic dieser IP bis auf
weiteres geblockt werden (im Idealfall vielleicht sogar für immer),
das muss ich mir noch überlegen.
Was ich jetzt aber brauchen würde ist:
Eine Art Reporting dafür, also ich müsste benachrichtigt werden
wenn sowas auftritt (in welcher Form auch immer) und die böse
IP Adresse sollte samt Uhrzeit und Anzahl der Verbindungen in
ein File protokolliert werden, damit ich das dann an die
entsprechenden abuse@something Herrschaften weiterleiten kann.
Hat jemand sowas schon implementiert bzw. gibts da vielleicht
schon fertige Tools?
Danke im Voraus,
ciao,
Alex
> Guten Morgen!
>
> Ich bin gerade dabei einen Windows 2003 Webserver eines Kunden auf Linux
> zu migrieren. Jetzt mal abgesehen von den üblichen Problemen die man
> dabei hat erwarte ich (D)DOS Attacken auf dem neuen Server, denn der
> jetzige Server wird in regelmäßigen Abständen von DOS Attacken gequält.
>
.....
> Was ich jetzt aber brauchen würde ist:
> Eine Art Reporting dafür, also ich müsste benachrichtigt werden
> wenn sowas auftritt (in welcher Form auch immer) und die böse
> IP Adresse sollte samt Uhrzeit und Anzahl der Verbindungen in
> ein File protokolliert werden, damit ich das dann an die
> entsprechenden abuse@something Herrschaften weiterleiten kann.
>
> Hat jemand sowas schon implementiert bzw. gibts da vielleicht
> schon fertige Tools?
>
fail2ban fällt mir dazu ein. Das wertet die Logfiles aus und macht Reports,
anschließend wird die IP per iptables oder hosts.deny blockiert.
Sollte es sogar als Pakete im Repo geben.
--
vista policy violation: Microsoft optical mouse found penguin patterns
on mousepad. Partition scan in progress to remove offending
incompatible products. Reactivate MS software.
Linux 2.6.24. [LinuxCounter#295241,ICQ#4918962]
Ich dachte immer fail2ban wertet nur fehlerhafte Logins aus...
Gut, muss ich mir nochmal anschaun, danke für den Tipp.
ciao,
Alex
Also das klingt ja mal sehr vernünftig. Ich glaube, dass es
hauptsächlich ohnehin nur den Apache Server betreffen wird, weil sonst
wird dort nicht weiß gott was laufen.
Vielen Dank schon mal!
ciao,
Alex
OK, jetzt ist es soweit, ich soll das Ding installieren.
Problem: In Debian stable gibts das dosevasive nicht für Apache2.
apt-get.org listet keine Backports auf, weiß jemand, wo ich noch
suchen kann?
ciao,
Alex
IMO hast du 2 Möglichkeiten:
* Lenny Paket installieren
http://packages.debian.org/lenny/libapache2-mod-evasive
* Source kompilieren
http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
--
Raphael
Oder Variante 3:
Ich nehm einfach das Paket für etch.
Allerdings hat mir erst dein Posting die Erleuchtung gebracht, weil da
steht erstmals was von libapache2-mod-evasive (ohne das "dos" im Namen)
und ich hab natürlich immer nur diesen hier gemacht:
stronghold:~# apt-cache pkgnames | grep dosevasive
libapache-mod-dosevasive
stronghold:~#
Gilbt halt nicht viel her, wenn man dann aber diesen hier probiert:
stronghold:~# apt-cache pkgnames | grep evasive
libapache2-mod-evasive
libapache-mod-dosevasive
stronghold:~#
Schauts schon lustiger aus. Das Paket gibts natürlich für etch (hätte
mich auch gewundert), aber es heißt halt scheinbar für den Apache2
anders als für den Apache1.
Danke dennoch für eure Tipps, im Endeffekt hats dann eh zum Ziel
geführt :)
ciao,
Alex
Oder Variante 4:
Früher schlafen gehen.
Vergesst das, was ich vorher geschrieben habe.
Das Paket von Lenny lässt sich ohne höhere libc6 nicht installieren
und nachdem das fehlgeschlagen hat hab ich in den pkgnames gegreppt,
und da war natürlich dann das lenny Paket ersichtlich, und keines für
etch...
Al - das nächste Mal werd ich nicht posten bevor ichs probiere - ex
Eventuell einfach auf der backports-users Mailingliste fragen,
vielleicht findet sich ja wer, der den Backport betreuen würde?
Vielleicht sogar der Paketbetreuer selbst?
Fragen kostet nichts - ohne fragen passiert nur wenig.
Rhonda
Ja, könnte man machen, allerdings bin ich inzwischen im Hardcore Test
draufgekommen, dass libevasive zwar nett ist, aber viel zu oft falschen
Alarm schlägt und im Extremfall nichts nützt.
Bei meinen Tests ist mir auch aufgefallen, dass der maximale Hitcount
für evasive nur ein "Richtwert" ist, also ich hab z.B. gesagt, dass
alles über 20 Hits in 10 Sekunden für 5 Minuten geblockt werden soll.
Bei meinen Tests geschah es oft erst nach dem 30. Hit, dann sahs so
aus, als ob ich geblockt worden bin, allerdings gabs dann zwischendurch
immer wieder ein paar positive Antworten vom Webserver, also ganz
kurios.
Habs inzwischen wieder deinstalliert und "umsonst" auf lenny upgegradet
;)
> Rhonda
? Gerfried == Rhonda ?
Shared Account?
Ah ein alter Bekannter! Grad noch rechtzeitig!
Fast schon waerest du hier ausinventarisiert worden ;-D
Mich kann man nicht ausinventarisieren, das wäre ... naja.. Bin vor
kurzem noch als »Lieblings-Nerd« bezeichnet worden, und wer nicht ganz
blind bzw. komplett abgeschottet vom Debian-Umfeld ist, findet meinen
Namen da und dort nach wie vor ein wenig aufblitzen.
Außerdem ich bin kürzlich auch erst wieder über Markus Baumeister
gestolpert und irgendwo kam die Idee auf, das legendäre Tunnel-Treffen
mal zu reaktivieren. Wem das was sagt, ohne eine Suchmaschine bedienen
zu müssen, kann sich gerne diesbezüglich bei mir melden. ;)
Bis dann!
Rhonda
--
Two atoms walk into a bar.
One atom stops and says to the other, "I think I just lost an electron."
The second atom asks "Are you sure?"
The first atom replies, "I'm positive!"
Schick halt einfach einen Termin aus. War ja "damals" auch nicht anders.
Bernd
--
Bernd Petrovitsch Email : be...@bofh.at
"For I was talking aloud to myself. A habit of the old: they choose
the wisest person present to speak to; the long explanations needed
by the young are wearying." --- Gandalf, the White