Attacke auf Apache verhindern?
H. Pusch
ich habe ein Problem mit geschützten Seiten auf dem Webserver Apache,
für das ich hier eine Lösung erhoffe.
Auf RedHat 7.3 läuft apache 1.3.27.
Alle Seiten sind durch entsprechende Einträge in httpd.conf unter
Directory mit "AuthType Basic" per Benutzer und Kennwort geschützt.
Nun habe ich mit dem Tool WebCrack eine Brute-Force-Attack
durchgeführt und so irgendwann Zugang erhalten.
Im error.log stehen hunderte Fehler bei der Authentifizierung pro
Minute.
Kann man so etwas beispielsweise nach drei fehlgeschlagenen Versuchen
pro Host irgendwie sperren, um solche Angriffe unmöglich zu machen?
Schönen Gruß,
H. Pusch
Eugen Ernst
> Kann man so etwas beispielsweise nach drei fehlgeschlagenen
> Versuchen pro Host irgendwie sperren, um solche Angriffe
> unmöglich zu machen?
Eigentlich müßtest du nur im Sourcecode nachsehen, da stehts doch drin!
Ach, keine Ahnung? Du könntest mich beauftragen, ich bau das für dich in
den Apache ein. 100E die Stunde, mehr als 3 Stunden wirds aber nicht
dauern.
Ansonsten, kauf dir ein Buch! <g>
Open Source ist schon toll.
mfg
Eugen
Andreas Kretschmer
> Kann man so etwas beispielsweise nach drei fehlgeschlagenen Versuchen
> pro Host irgendwie sperren, um solche Angriffe unmöglich zu machen?
> Schönen Gruß,
Du bist hier wohl leicht falsch, weil nicht Linux-spezifisch.
Trotzdem der Versuch einer Antwort:
Du könntest error.log auswerten und mit iptables dann die IP sperren.
Aber damit eröffnest Du dann die Möglichkeit, mittels gespoofter
IP-Adressen auch Unschuldige auszusperren.
Ansonsten würde ich Dich auf de.comm.infosystems.www.servers verweisen.
end
Andreas
--
Andreas Kretschmer
Linux - weil ich es mir wert bin!
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
Robin S. Socha
Dein Vorname?
[...]
> Kann man so etwas beispielsweise nach drei fehlgeschlagenen Versuchen
> pro Host irgendwie sperren, um solche Angriffe unmöglich zu machen?
<http://www.networkdweebs.com/stuff/security.html>
[fup2 de.comm.infosystems.www.servers]
Werner Hartnagel
> Eigentlich müßtest du nur im Sourcecode nachsehen, da stehts doch drin!
>
> Ach, keine Ahnung? Du könntest mich beauftragen, ich bau das für dich in
> den Apache ein. 100E die Stunde, mehr als 3 Stunden wirds aber nicht
> dauern.
Auch wenn dein Name anderes vermuten lässt ist das doch nicht dein Ernst,
oder ;-) Die Apache Docu hilft bestimmt auch.
In alt.apache.configuration findest du warscheinlich bessere Antworten.
> Ansonsten, kauf dir ein Buch! <g>
>
> Open Source ist schon toll.
ironie? Bist wohl einer dieser Anti-Open-Source Freaks?
regards
werner
Joern Seemann
>> Ansonsten, kauf dir ein Buch! <g>
>>
>> Open Source ist schon toll.
>
> ironie? Bist wohl einer dieser Anti-Open-Source Freaks?
Oder knapp bei Kasse.
Gruss Jörn
--
10-4,Brewster
Bernhard Voelker
> Du könntest error.log auswerten und mit iptables dann die IP sperren.
> Aber damit eröffnest Du dann die Möglichkeit, mittels gespoofter
> IP-Adressen auch Unschuldige auszusperren.
Und sollte der Angreifer einen Proxy benutzen, dann sperrst
du natuerlich auch alle anderen Proxy-Benutzer aus.
z.B. proxy.t-online.de ist nicht so schoen.
Berny
Eugen Ernst
> Und sollte der Angreifer einen Proxy benutzen, dann
> sperrst du natuerlich auch alle anderen Proxy-Benutzer
> aus. z.B. proxy.t-online.de ist nicht so schoen.
Also ich würde im Apache eine Blacklist führen, welche die IP's von
ungültigen Anmeldungen speichert. Wenn eine IP sich mehrfach falsch
anmeldet, dann wird die Antwort, daß Benutzername/Passwort falsch ist
immer weiter verzögert.
Das hat den Vorteil, daß andere Personen, mit gleicher IP, die sich
korrekt anmelden, nicht ausgeschlossen werden und eine Bruteforce
Attacke dennoch merklich ausgebremst wird.
Das kostet dann natürlich extra :-)
mfg
Eugen
Kim Huebel
> ironie? Bist wohl einer dieser Anti-Open-Source Freaks?
Nein, er ist ein Troll und den sollte man nicht füttern. Danke.
Steck ihn kommentarlos ins Killfile oder ignoriere ihn schlichtweg. Er
hat in dieser Gruppe recht wenig produktives Verhalten gezeigt in den
letzten Monaten.
regards, Kim
--
Dear Mr. George W. Bush: STOP WAR - START THINKING!!!
--------------------------------------------------------------------
Realnamen in der From:-Zeile sowie gültige Emailadressen erhöhen die
Chance gelesen zu werden und sinnvolle Antworten zu erhalten!
Ulli Kuhnle
> Auch wenn dein Name anderes vermuten lässt ist das doch nicht dein
> Ernst, oder ;-)
Eugen Ernst ist ein MS-Troll, der von Programmierung keinen Schimmer
hat und der nur deswegen immer wieder aus den Killfiles hüpft, weil
er von manchen Leuten immer noch gefüttert wird.
--
Gruß - Ulli
Robin S. Socha
> Werner Hartnagel deno...@gmx.de schrieb:
>
>> Auch wenn dein Name anderes vermuten lässt ist das doch nicht dein
>> Ernst, oder ;-)
>
> Eugen Ernst ist
Eugen Schabenberger. Und es wäre irre nett, wenn die Fütterung jetzt
eingestellt würde. Du kannst sinnvoller mit einem Eimer Schweinescheiße
diskutieren. [fup2 de.alt.0d]
Holger Marzen
> Alle Seiten sind durch entsprechende Einträge in httpd.conf unter
> Directory mit "AuthType Basic" per Benutzer und Kennwort geschützt.
> Nun habe ich mit dem Tool WebCrack eine Brute-Force-Attack
> durchgeführt und so irgendwann Zugang erhalten.
> Im error.log stehen hunderte Fehler bei der Authentifizierung pro
> Minute.
> Kann man so etwas beispielsweise nach drei fehlgeschlagenen Versuchen
> pro Host irgendwie sperren, um solche Angriffe unmöglich zu machen?
Wenn du es hinkriegst, mail mir bitte Bescheid. Ich habe mal
mod_auth_pgsql probiert, ein Modul, das anhand von Tabellen einer
PostgreSQL-Datenbank authentisiert. Da PostgreSQL auch Trigger und
Stored Procedures kann, dachte ich mir einfach, dass ich aus dem Select
innerhalb der DB eine Prozedur abfeuern kann, die Fehlversuche
hochzählt. Leider konnte das PostgreSQL in der Version 7.2.1 nicht, mit
der ich es probiert habe. Allerdings könnte man das Modul erweitern, so
dass es nicht nur einen Select sondern auch einen Update macht. Das nur
so als Idee.
Juergen Ilse
Eugen Ernst <Er...@gmx.com> wrote:
> Bernhard Voelker schrieb:
>> Und sollte der Angreifer einen Proxy benutzen, dann
>> sperrst du natuerlich auch alle anderen Proxy-Benutzer
>> aus. z.B. proxy.t-online.de ist nicht so schoen.
> Also ich würde im Apache eine Blacklist führen, welche die IP's von
> ungültigen Anmeldungen speichert. Wenn eine IP sich mehrfach falsch
> anmeldet, dann wird die Antwort, daß Benutzername/Passwort falsch ist
> immer weiter verzögert.
Und du wolltest ernsthaft anbieten, mit deinen Kenntnissen fuer
100,- EURO/Stunde so etwas wie "mod_evasive" nachzuprogrammieren
(siehe http://www.networkdweebs.com/stuff/security.html)?
Ohne mir das Modul jetzt angesehen zu haben, wuerde ich bei deinem
bisherigen Verhalten in den Linux-Gruppen dem Original eher trauen
als einem Machwerk von dir ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
[ Alfred Schulze ueber Norton Internet Security in dcsf ]
Es ist ja eigentlich auch nicht zum runterbekommen gemacht.
Normalerweise gehoert es genau wie ein Windows ein Leben
lang auf den Computer.