Kategoriearchive: Firewall


Joomla Kontakt Spam 1

Im Moment sehen wir auf vielen Kundenservern mit einem aktuellen Joomla und OS vermehrt Spam-Mails, die über das Kontaktformular verschickt werden. Im Log findet sich dann z.B. 117.90.137.141 – – [08/Sep/2017:20:01:37 +0200] “POST /index.php/kontakt HTTP/1.1” 302 483 “http://www.WEBSEITE.de/index.php/kontakt” “Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36” […]


php-Klasse für blocklist.de

Ich habe eine PHP-Class entwickelt, mit der die API von blocklist.de verwendet werden kann. Reports lassen sich so einfach in PHP erstellt und abschicken. $log = $blocklist->create_http_log($ip, $date); $log .= “\n\n”.$blocklist->create_comment(‘Spam-Comment’, $comment, $mail); $report = $blocklist->send_report($ip, ‘badbots’, $log); Auch die letzten Einträge lassen sich sehr leicht abfragen: $last_added = $blocklist->get_last_added(‘-60s’); […]


xt_recent mit syslog-ng 2

Die unter Block outdated clients vorgestellte Lösung funktioniert zumindest mit syslog-ng 3.4.2 nicht, da syslog-ng “lseek()” verwendet, um das Ende von z.B. /proc/net/xt_recent/irgendwas zu erreichen, während die destination program lediglich ein externes Programm startet. Mit file als destination sieht das im Log dann so aus: Aug 29 00:00:44 mx03.schaal-24.de syslog-ng[20351]: […]


[Update] Blocklisten von blocklist.de in iptables einbinden 25

Martin Kos hat mich darauf hingewiesen, dass mein Blocklisten von blocklist.de in iptables einbinden nicht funktioniert, wenn DNAT verwendet wird, weil die INPUT-Regeln nicht bzw. zu spät greifen. Es dürfte besser sein, die Pakete nicht erst in INPUT, sondern schon im PREROUTING und zwar in der MANGLE TABLE zu droppen. […]


Blocklisten von blocklist.de in iptables einbinden 2

UPDATE: http://blog.schaal-24.de/?p=2683 Ich verwende unter anderem einige Blocklisten von blocklist.de, um potentielle Angriffe zu minimieren. Da die einzelnen Listen pro Zeile eine IP enthalten, lassen Sie sich problemlos über xt_recent einbinden. Ich verwende ein einfaches Bash-Script, um einmal am Tag über cron meine Firewall mit den Listen abzugleichen. Einige Parameter […]


Postfix / Postscreen – IP in die Firewall eintragen

Der Beitrag von Robert Schetterer (Botnet-Angriffe mit rsyslog und iptables recent module abwehren) zum sofortigen Eintrag von durch Postscreen abgelehnten IP-Adressen mittels rsyslog hat mich dazu animiert, hier meine Lösung für syslog-ng vorzustellen. Ich setze dabei aber nicht auf eine Pipe, sondern trage über syslog-ng die entsprechende IP direkt in […]


fail2ban mit xt_recent reloaded 1

Hier nun die Ergänzung zu fail2ban mit xt_recent. Durch fail2ban (ob nun über xt_recent oder kompletten Eintrag in die Firewall) werden IP immer nur geblockt, bis der Server neu gestartet wird. Daher trage ich die Bans nicht nur in die Firewall, sondern auch in eine mysql-Datenbank ein. Grundsätzliches Ich habe […]


Traffic auf einem clamav-mirror limitieren 1

Ich betreibe einen Mirror für clamav. Einige clients laden aber jedesmal die main.cvd anstatt der diffs. Daraus folgt ein täglicher Traffic von bist zu 150 MB pro Tag und client. Also habe ich mich auf die Sucher nach einer Lösung gemacht, um den monatlichen Traffic von ~2TB ein wenig zu […]