Hallo zusammen,

ich bin auf der suche nach einem tool welches Logfiles (vor allem apache2)
nach fehlversuchen durchsucht und diese IPs dann bannt für ne gewisse zeit.

Alternativ würde ich mir wünschen bestimmte länder komplet zu bannen...
(china, russland etc...)

kennt Ihr tools ?? oder gute möglichkeiten.

Ich hatte fail2ban ausprobiert ... :mad:
klang sehr interessant ... aber ... 160MB Speiche für ein phyton skriptchen :eek: war doch ein bischen viel für meine kleine Virtuele box ...
ausserdem sperrt es nur die fehlversuche welche sich über htacces anmelden wollen ...


gruß
ArtMagic

andere Frage: wofür? Was soll's bringen?

Schau Dir aber mal mod_security an - evtl. hilft Dir das weiter...

was es bringen soll???

naja diese Skript Kidys oder wer das auch immer macht scannen wild auf dem Server rum ... und probieren alle bekannten lücken aus .. ich hatte vor ein paar wochen eine nete erfahrung mit PHPKit ... da hat einer geschaft eine PHP datei ausführbar ins web verzeichnis zu legen und er hat fleißig dreck gemacht ... :mad:

Folgende gründe denke ich sollte jeder haben :

Warum soll der server 400.000 mal in der nacht sagen ... 404 .. die seite gibts nicht ??
Die scannen nach verschiedenen sachen, in der regel treffen die jungs nicht sofort, und wenn ich etwas verwundbares auf dem server habe und ich es nicht mal weis, sperre ich die IP komplett aus bevor er die lücke trifft
Es währe ja auch gigantisch wenn ich anhand der postfix logs IPs Sperren könnte, wenn eine IP 10 mal an einen nicht existenten empfänger mailt wird sie geblockt ...


naja und es gibt noch mehrer tausend gründer warum diesen "Idioten" das leben schwer gemacht gehört.

Danke für den tip "mod_security" ich werde es mir mal anschauen ....

naja diese Skript Kidys oder wer das auch immer macht scannen wild auf dem Server rum ... und probieren alle bekannten lücken aus .. ich hatte vor ein paar wochen eine nete erfahrung mit PHPKit ... da hat einer geschaft eine PHP datei ausführbar ins web verzeichnis zu legen und er hat fleißig dreck gemacht ... :mad:
Das wird dadurch aber nur erschwert, nicht verhindert. Um das zu verhindern gibt es viel einfachere Möglichkeiten.



Folgende gründe denke ich sollte jeder haben :

Warum soll der server 400.000 mal in der nacht sagen ... 404 .. die seite gibts nicht ??
weil's den Server nicht stört?




Die scannen nach verschiedenen sachen, in der regel treffen die jungs nicht sofort, und wenn ich etwas verwundbares auf dem server habe und ich es nicht mal weis, sperre ich die IP komplett aus bevor er die lücke trifft
Wenn Du Glück hast. Gibt aber eher ein falsches Gefühl der Sicherheit.

Ansonsten: Du sollst nichts verwundbares auf dem Server haben.




Es währe ja auch gigantisch wenn ich anhand der postfix logs IPs Sperren könnte, wenn eine IP 10 mal an einen nicht existenten empfänger mailt wird sie geblockt ...

Wenn Du Mails von jeder IP annimmst - hast Du ein ganz anderes Problem.

Ansonsten würde ich das nicht machen - jedenfalls solange Du nicht generell etwas dagegen hast, eMails zu bekommen...

hi marce,

hmmm eigentlich helfen tust du mir nicht ??? oder ??

Ich frage was du sagts warum wieso bringt eh nix, dan hast du ein anderes problem ??

wie wäre es mit konstruktiven komentaren ??

Probiere doch mal "GrayListing" oder schau doch mal hier http://www.spamhaus.org/sbl/
oder irgend was konstruktives ...

ich habe kein all zu großes spam aufkommen ...
spamassasin funktioniert bei mir ganz gut .. kommen nur noch 3 - 10 Spams von ca. 300 - 500 spams am tag an ...


zu deinem Spruch weils den server nicht stört ... kommt drauf an !!! denk halt mal nach was für ne kiste ich haben könte wenn mir 160MB speicher zu viel sind ...

der nexte tolle spruch .. du sollst nix verwundbares auf dem server haben ...
wenn du nur ein bisserl a plan hättest wüsstest du das jede (wirklich) jede software einen fehler hat ... ist immer nur die frage wer es weis und was man durch die ausnutzung des fehlers ereichen kann ... aber egal ...

naja .. ich hatte nach einem tool /technick oder sontwas sinvollem gefragt ... wenn du keinen vorschlag hast ... behalte deine [trol] komentare für dich ...

danke

Auf Grund deiner Postingfrequenz wage ich zu bezweifeln, dass du dich schon ernsthaft mit dem bereits genannten mod_security auseinandergesetzt hast. Solange du das nicht getan hast, sind weitere Diskussionen mit dir reine Zeitverschwendung.


wie wäre es mit konstruktiven komentaren ??
Wie wäre es mit angemessenen Reaktionen auf konstruktive Beiträge?


wenn du nur ein bisserl a plan hättest wüsstest du das jede (wirklich) jede software einen fehler hat ... ist immer nur die frage wer es weis und was man durch die ausnutzung des fehlers ereichen kann ... aber egal ...
Wer im Glashaus sitzt...


naja .. ich hatte nach einem tool /technick oder sontwas sinvollem gefragt ... wenn du keinen vorschlag hast ... behalte deine [trol] komentare für dich ...
Hm, ich sehe hier auch einen Troll, aber es ist nicht marce.

Wenn Du es unbedingt mit iptables machen willst. Es gibt es ein string Modul, damit und mit genau definierten Strings laesst sich da bestimmt was machen:



string
This modules matches a given string by using some pattern matching strategy. It requires a linux kernel >= 2.6.14.

--algo bm|kmp
Select the pattern matching strategy. (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)

--from offset
Set the offset from which it starts looking for any matching. If not passed, default is 0.

--to offset
Set the offset from which it starts looking for any matching. If not passed, default is the packet size.

--string pattern
Matches the given pattern. --hex-string pattern Matches the given pattern in hex notation.



Mit etwas mehr Geld vielleicht ein IDS mit den Scans bekanntmachen und gleich aussen vor lassen?

Gruss
403

Hi Roger,


Auf Grund deiner Postingfrequenz wage ich zu bezweifeln, dass du dich schon ernsthaft mit dem bereits genannten mod_security auseinandergesetzt hast. Solange du das nicht getan hast, sind weitere Diskussionen mit dir reine Zeitverschwendung.


ja ich habe mir mod_security noch nicht im detail angeschaut .. ich habe auch nicht darüber gesprochen ... ist es das einzige ?? kennst du ne alternative?? oder machst du auch nur small talk mit mir ??



Wie wäre es mit angemessenen Reaktionen auf konstruktive Beiträge?

siehe meine erste antwort darauf ...




Danke für den tip "mod_security" ich werde es mir mal anschauen ....




Hi 403 -- danke für den Tip, ich schau mir das heute abend mal an .. auch suche ich mal IDS mal durch obs da was besseres gibt...


Villeicht habe ich mich auch nicht richtig ausgedrückt ... aber das problem sollten doch mehrere leute haben oder werden euere WebServer nicht dauernd gescant ?? Was macht ihr dagegen ?? IPTables ist für mich nicht zwingend .. aber ich wüsste nicht wie ich die leute ins nirvana schicken kann wenn sie rumscannen ...

Villeicht habe ich mich auch nicht richtig ausgedrückt ... aber das problem sollten doch mehrere leute haben oder werden euere WebServer nicht dauernd gescant ??
Doch.


Was macht ihr dagegen ?? IPTables ist für mich nicht zwingend .. aber ich wüsste nicht wie ich die leute ins nirvana schicken kann wenn sie rumscannen ...
Warum sollte ich? Seiten, die nicht da sind werfen eine 404 - und über alles weitere freuen sich die Marketingmenschen, da es Zugriffszahlen generiert :-)

Außerdem: Wo willst Du die Grenze ziehen? Links oder Bots von Suchmaschinen, die ihre alten DBs abklopfen und dann evtl. viele 404er generieren? Die bannt man nicht - sondern leitet sie über entsprechende 404er auf aktuelle Seiten.

Proxies, über die viele Leute kommen - 1x falsch konfiguiert und mehrere 1000 Leute können die Seite nicht mehr abrufen.

Da sind die paar "Versuche", irgendwelche phpMyAdmins oder sonstigen "bösen" Verzeichnisse zu finden den Aufwand nicht wert - vor allem sind solche Scans meist nach ein paar Stunden sowieso vorbei...

letztens gesehen: http://safetycertified.com/info/index.asp

haben ~ca eine Stunde mit langen Delays gescannt. Interessantes Geschaeftsmodell.
(das als Security Scan zu verkaufen :rolleyes: )

An ein gewissen Hintergrundrauschen muss man sich gewöhnen.

Wenn dein Server und alle Software darauf ordentlich konfiguriert sind und aktuell sind, dann droht eigentlich nur eine Gefahr von selbstgeschriebenen (PHP-) Scripten.

Vieles, was kursiert, erhöht die Sicherheit nur scheinbar. Mit solchen Scherzen wie IP-Blocking kann binnen sehr kurzer Zeit dein Server mal eben alle IP-Adressen blocken. Dann kommt niemand mehr auf deinen Rechner (IP-Spoofing).

Scriptkiddies checken i.d.R. nur nach älteren Lücken, die sollten eh schon längst gepatcht sein. Gegen Zero-Day-Exploits gibts keinen Schutz (außer nicht vernetzte, weggesperrte Rechner) - die treffen nach einem Versuch ins Schwarze.

Gegen Zero-Day-Exploits gibts keinen Schutz

Doch - mod_security und eine vernünftige PHP Config, alternativ auch Suhosin.

Zumindest die Auswirkungen eines erfolgreichen Angriffs kann man sehr einschränken.

Das Bannen von IPs geht wie schon von marce beschrieben meistens total in die Hose.


mfg
cane

naja, bei 0-day-Exploits kommt's sehr darauf an, was es für einer ist...

(ohne genauer geforscht zu haben: z.B. SQL-intrusion dürfte auch mit mod_security schwer zu kriegen sein)

Doch - mod_security und eine vernünftige PHP Config, alternativ auch Suhosin.


Naja, 0days gibts sicher auch fuer mod_security :D :ugly:
Und tcpdump als root laufen lassen, machen ja auch viele :rolleyes:



Zumindest die Auswirkungen eines erfolgreichen Angriffs kann man sehr einschränken.


Hier waere mal ein gutes 'Security per Default Howto' angebracht. Steht bei mir schon laenger auf der Todo Liste.

Gruss
403

@marce, da kann man mit Snort vorfiltern, hatte mal nen Artikel bei Securityfocus dazu
gesehen. Naja und paar generische SQL Sachen sind auch bei mod_security bei.

Update nach kurzem STFW, hier der Link:
http://www.securityfocus.com/infocus/1768

Schöner Artikel, zumindest nach dem erste Überfliegen :-)

Muss ich mir am Mo mal genauer zu Gemüte führen - und auch mal wieder experimentieren. Snort hatten wir mal "versuchsweise" im Einsatz - die Konfiguration der rulesets ist aber, gerade in komplexeren Umgebungen nicht ohne, wenn man nicht in False-Positives ersticken will :-)

(und nebenbei, wenn man eine zentrale Snort-Instanz haben will, auch nicht ohne, was die HW des entsprechenden Servers angeht...)

Update nach kurzem STFW, hier der Link:
http://www.securityfocus.com/infocus/1768
Das sieht alles nach relativ viel Gefrickel aus. ;)

Ich würde dann doch eher zu Lösungen wie http://www.suspekt.org/2008/08/15/mysql-proxy-learning-to-block-sql-injection/ oder http://www.greensql.net/ greifen.

Das sieht alles nach relativ viel Gefrickel aus. ;)
Och, das wirkt nur so. Eine saubere Snort Integration und z.B. ein Umstieg auf SAP schenken sich im Aufwands- und Zeitvergleich nicht viel...

Och, das wirkt nur so. Eine saubere Snort Integration und z.B. ein Umstieg auf SAP schenken sich im Aufwands- und Zeitvergleich nicht viel...

Nur das Snort sich der Kundensituation anpassen lässt, sich der Kunde aber SAP anpassen muss :ugly:

mfg
cane

Was haltet ihr davon ganze Länder IPTechnisch durch Iptabels oder so
vom Server weg zu halten?

Ich habe bei mir beobachtet das meistens leute aus Rusland/China/Bulgarien etc. rumscannen ... und mein WebService richtet sich regional an Leute aus München ... oder deutschland ...

Gibts da gute Möglichkeiten ?? Ich hatte mehrere Adress Db gefunden ...
bringt das was?? Oder können die jungs das leicht umgehen ???

Gibts da zuverlässigere DBs als andere ??

Allein die Tatsache, daß IPs prinzipiell nicht geogebunden sind (und ja, es gibt zwar DBs, die sind aber mehr oder weniger aktuell und mehr oder weniger korrekt - je aktueller und korrekter desto €) und die Existenz von Proxies sollte als Antwort genügen.

Gemeldet.

mfg
cane