Im Moment sehen wir auf vielen Kundenservern mit einem aktuellen Joomla und OS vermehrt Spam-Mails, die über das Kontaktformular verschickt werden. Im Log findet sich dann z.B. 117.90.137.141 – – [08/Sep/2017:20:01:37 +0200] “POST /index.php/kontakt HTTP/1.1” 302 483 “http://www.WEBSEITE.de/index.php/kontakt” “Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36” […]
Die unter Block outdated clients vorgestellte Lösung funktioniert zumindest mit syslog-ng 3.4.2 nicht, da syslog-ng “lseek()” verwendet, um das Ende von z.B. /proc/net/xt_recent/irgendwas zu erreichen, während die destination program lediglich ein externes Programm startet. Mit file als destination sieht das im Log dann so aus: Aug 29 00:00:44 mx03.schaal-24.de syslog-ng[20351]: […]
Hier nun die Ergänzung zu fail2ban mit xt_recent. Durch fail2ban (ob nun über xt_recent oder kompletten Eintrag in die Firewall) werden IP immer nur geblockt, bis der Server neu gestartet wird. Daher trage ich die Bans nicht nur in die Firewall, sondern auch in eine mysql-Datenbank ein. Grundsätzliches Ich habe […]
Um den Traffic von einem Port umzuleiten, kann man entweder iptables und PREROUTING verwenden oder – wenn es nur tcp sein muss – auch rinted. Rinetd hat den Vorteil, dass sich das ganze wesentlich einfacher einrichten lässt. Die entsprechenden Werte werden lediglich in /etc/rinetd.conf eingetragen. Um z.B. http und https […]
my english version Durch mod_cband lässt sich die verfügbare Bandbreite von Apache nach verschiedenen Kriterien drosseln. Das Modul kann von http://cband.linux.pl/download/ oder auch von http://sourceforge.net/projects/cband/ heruntergeladen werden. Zum Installieren reicht wie üblich ./configure make make install Voraussetzung ist aber das APache eXtenSion tool. Die meisten Distributionen bieten mod_cband aber auch […]
Fail2ban an sich ist ein sehr praktisches Tool, um potentielle Angreife aussperren zu können. Unhandlich wird es aber mitunter, wenn man eine bestimmte IP einfach wieder freigeben will. Ich hatte das Thema schon fast vergessen, bis ich dazu einen Kommentar erhalten habe. 😉 Ich schreibe aber die recent-Einträge in meiner […]
Es kann Probleme mit destination file geben. Eine Lösung dazu findet sich unter xt_recent mit syslog-ng. Ich habe auf meinem clamav-mirror zahlreiche Connects von veralteten Clients (> 300,000 / day). Daher trage ich die IP mit veralteten Versionen (die einen Apache-Code 403 produzieren) in die Firewall ein. Voraussetzungen: Apache HTTP-Server […]