hi @all,

habe heute mal ganz unverbindlich das accesslog vom apache durchgeblätter und mir ist aufgefallen, dass jemand versucht, hat meine /etc/passwd/ zu klauen. ich häng das logfile mal mit an diesen post ran.
ist es eigentlich möglich, den apache so einzustellen, dass wenn von einer ip, innerhalb einer bestimmten zeit, immer wieder der fehler 404 erzeugt wurde diese ip zu blocken?

greetz enrico

hier noch das accesslog file

Es macht IMO keinen Sinn eine IP automatisch zu blocken. Damit schießt man sich unter Umtänden selbst ins Knie, z. b. dynamische IPs werden von wechselnden Benutzern verwendet.

Zumal er auf die passwd keinen Zugriff erhalten hat, da diese nicht im erreichbaren Pfad liegt (404).

HTH

hi,

danke für die antwort. nochmal zum ip sperren. ich will ja nicht, dass diese ip dann für immer geblockt wird, sondern nur für vielleicht 10 minuten. ist sowas machbar?

enrico

hm.... Tag ...bin zwar kein Profi , aber wo ist da der Efekt ?

Dann wechselt der Knilch die IP und was dann ? ;)

JeFF

Hmm, da scheint jemand einen Bug mit relativen Pfade ausnutzen wollen. Soweit ich weiss, sind die mittlerweile alle recht dicht. Allerdings man kann nie wissen: Schau deshalb in CERT oder Security-Focus (http://www.security-focus.com/) nach, ob dein System auf ein solches Problem anfällig ist.
Ansonsten bring dein System auf den neusten Stand (was sowieso selbstverständlich sein soll) und verfolge die Aktivitäten, besonders diese IP aufmerksam.

Die IP automatisch sperren macht meiner Meinung nach keinen Sinn, da dies für DOS-Attacken genutzt werden kann (gespoofte Packete und dann?).

Gruss, Andy

wenn du vorhast benutzer zu blacklisten (also die ip zu sperren), solltest du über stateful firewalling nachdenken, du wirst da mit den paketfiltern relativ schnell am ende sein. klar du kannst trinksen und das realisieren, aber es ist trotzdem nicht das wahre. außerdem kann er ja immer noch 100 proxies benutzen.

joey

hi to all

schließe mich den aussagen an, hier ist eine gute defensive gefragt. immer updaten und konfiguration gut und vor allem aufmerksam vornehmen.

habe auch mal anders gedacht, aber angreifen oder aussperren gibt nur ärger bzw. trifft unschuldige (dynip).

anmailen macht vielleicht noch sinn, hat zumindest einmal geholfen.

greetz rabenkind :))

Wie währe es denn mit folgender Technik: Wenn eine bestimmte IP innerhalb einer bestimmte Zeit eine bestimmte Anzahl an Fehler (z.B. 404) produziert, erscheint für eine bestimmte Zeitspanne (z.B. 10 Minute) bei dieser IP immer der Fehler 404 (auch, wenn die Seite vorhanden ist). Die Wahrscheinlichkeit, dass in diesen 10 Minuten die IP wechselt und der neue User die IP die gleiche Seite aufrufen will, ist ziemlich geringt. Der Sinn des ganzen ist, dass es einem möglichen Angreifer erschwert wird, Seite ohne direkten Link zu finden. Sicherlich kann er die IP wechseln, aber es wird zumindestens schon mal schwerer.

Du versuchst mit Security by obscurity ein Problem zu lösen, dass nicht existiert. Unabhängig davon, dass Security by Obscurity nicht funktioniert.

Die Wahrscheinlichkeit, dass deine Gedankengänge richtig sind liegen bei 0%.

Nur mal so als Beispiel (ScriptKid):
Nehmen wir an jemand will dich "hacken", dass einzige, das er tun muss ist warten. Früher oder später gibt es einen Exploit für die von dir eingesetzte Software. Was glaubst du, wie viele Seiten muss er aufrufen?

Ja, schon klar. Es geht auch gar nicht darum, es als einzigsten Schutz einzusetzten sondern nur zusätzlich zu anderen Schutzmechanismen einzusetzten.

hi to all

@jinto

"dass Security by Obscurity nicht funktioniert. "

dieses prinzip ist zur verhinderung von einbrüchen sogar anerkannt und wird bei vielen alarmanlagen(konzepten) eingebaut .nur die form wie es string_val dargestellt/definiert hat wird nicht funktionieren.

generell kann dieses konzept durchaus einen teil der sicherheitsvorkehrungen darstellen. dazu gehört zb. mangelnde informationspreisgabe a' la : kein servernamen kein os info usw.

übersetzung "security by obscurity => sicherheit durch unklarheit"

also reine definitionssache

greetz rabenkind :))

>generell kann dieses konzept durchaus einen teil der sicherheitsvorkehrungen darstellen.
Also doch keine Sicherheit durch Verschleierung? :D

Ich gehe davon aus, dass wir beide das selbe meinen.

Gruß

hi jinto

verschleierung ist auch gut :D

greets rabenkind :))