Sie sind nicht angemeldet.

1

10.12.2011, 10:41

Webserver ofsécheren

Meng Froen ginn haaptsächlech un den Johnny mee amplaz dat per Mail ze maachen ass et hei besser. En Aneren kann och vläicht eppes domat ufänken oder eppes zur Diskussioun bäidroen:

Bon, aktuell stellen ech nees zimlech vill Attacken op mäin Server fest, am Stil vun:

Zitat

ALERT - tried to register forbidden variable 'GLOBALS[mosConfig_absolute_path]' through COOKIE variables (attacker '173.212.197.136', file '/var/www/xxxxxxx/index.php')
Wat ass de beschte Wee do virzegoen?

D'IP manuell mat iptables ze spären schengt mer net besonnesch effektiv. Wéi automatiséiert een dat am beschten? (Jonny, bedenk, ech sinn elo nach net DEEN Profi :-) )

An wat ass heivunner ze halen? http://www.ivankristianto.com/web-develo…-apache-2/1427/
Oder ass dat iwwerflesseg mat engem automateschen Script deen IP'en blockt?

Merci gesot :thumbsup:
Politik ist die Kunst, die Bürger immer wieder so schnell über den Tisch zu ziehen, daß sie glauben, die dabei entstehende Reibungshitze sei Nestwärme

2

10.12.2011, 21:08

Fir d'éischt - 'register_globals' an der php.ini aus ausgeschalt, huelen ech un?

Wat d'Blockéiren vun IP'en ugeet, benotzen ech fail2ban. Hei kannst de pro Applikatioun/Server definéiren, op wat fir eng Logfile-Entries réagéiert soll ginn. Wann dann innerhalb vu kuerzer Zäit déiselwecht IP e puer Failen huet, get se fir 24 Stonnen gespaart.

Ech benotzen dat net um Webserver, mee zum Beispill um SSH an um Postfix.

Den mod_evasive ass sou wéi ech dat verstinn éischter bei engem DDoS-Attack sennvoll.

3

10.12.2011, 21:17

register_globals checken ech dann mol.

fail2ban kucken ech mer och un, dat wier jo genee dat wat ech sichen.

trotzdem nach eng fro aus firwatz: ech hunn an der iptable eng ip geblockt, trotzdem kennt se nach duerch. muss een den indianer fresch starten fir dass dat wierkt? oder wéi oder wattt?

merci awer mol fir déi tippen bis elo.
Politik ist die Kunst, die Bürger immer wieder so schnell über den Tisch zu ziehen, daß sie glauben, die dabei entstehende Reibungshitze sei Nestwärme

5

11.12.2011, 10:34

register_globals war off

fail2ban ass och installéiert:
The jail ssh-ddos has been started successfully.

The jail apache-multiport has been started successfully.

The jail ssh has been started successfully.

The jail apache-noscript has been started successfully.

The jail apache has been started successfully.

The jail apache-overflows has been started successfully.



Kann ech lo nees op béiden Ouren schlofen (wéi eisen Premier lo soe géing) oder hues de nach en As am Aarm? ;)

Backups loossen ech iwwrigends vun Linode selwer maachen, déi 5 Dollar ass et mer wert
Politik ist die Kunst, die Bürger immer wieder so schnell über den Tisch zu ziehen, daß sie glauben, die dabei entstehende Reibungshitze sei Nestwärme

6

11.12.2011, 10:42

maach mol iptables -L
Kommando zréck.
An der iptable steet 173.212.197.136
Den Attacker vun geschter war awer 173.212.197.132. Et ännert emmer nemmen den läschten Deel vun der IP. Wat kann een do maachen?









Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-apache tcp -- anywhere anywhere multiport dports www,https
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
fail2ban-apache-overflows tcp -- anywhere anywhere multiport dports www,https
fail2ban-apache-multiport tcp -- anywhere anywhere multiport dports www,https
fail2ban-ssh-ddos tcp -- anywhere anywhere multiport dports ssh
fail2ban-apache-noscript tcp -- anywhere anywhere multiport dports www,https
ACCEPT all -- anywhere anywhere
in_internet all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED
ULOG all -- anywhere anywhere limit: avg 1/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `'IN-unknown:'' queue_threshold 1
DROP all -- anywhere anywhere
DROP all -- 173-212-197-136.static.hostnoc.net anywhere
Politik ist die Kunst, die Bürger immer wieder so schnell über den Tisch zu ziehen, daß sie glauben, die dabei entstehende Reibungshitze sei Nestwärme