+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Archiv (/forum-54.html)
+---- Thread: [Erledigt] iptables apache anbindung (/thread-2518.html)
RE: iptables apache anbindung - Rene - 02-25-2008 01:50 AM
hm, hatte bisher noch keine größeren angriffe, aber werde das mal weiter beobachten...
RE: iptables apache anbindung - fulltilt - 02-25-2008 01:57 AM
ist bei mir schon öfter mal eingefroren das fail2ban ...
Nur wenn ich die maxretry von 1 auf 10 setze, nützt es ja nichts bei einem Rootkit Installations Versuch ... den will ich ja sofort blocken.
Rene Wrote:hm, hatte bisher noch keine größeren angriffe, aber werde das mal weiter beobachten...
RE: iptables apache anbindung - Rene - 02-25-2008 01:59 AM
ja das ist schon klar, aber wie gesagt, wenn du die regel erstellst, geht der dann das entsprechende logfile erstmal durch und wendet die regel an.
nützt dir ja anfangs nichts... deswegen würde ich das erstmal hochsetzen und danach kannst du es ja wieder ändern
RE: iptables apache anbindung - fulltilt - 03-01-2008 08:54 PM
Hi Rene,
mit maxretry=2 scheint das jetzt zu klappen.
Habe hier noch 2 Logs in der apache-error.log ...
Kann man diese in eine regex zusammenfassen oder wie kann man das am besten umsetzen?
Code:
[Sat Mar 01 04:44:09 2008] [error] [client 122.160.0.202] ModSecurity: Access denied with code 403 (phase 2). Pattern match "/sumthin" at REQUEST_URI. [uri "/sumthin"] [unique_id "96naN8MYTXsAAC4gNdMAAAA1"]
[Sat Mar 01 11:20:53 2008] [error] [client 221.140.33.61] File does not exist: /htdocsRE: iptables apache anbindung - Rene - 03-01-2008 09:05 PM
bei den zwei meldungen möchtest du sperren? oder nur beim 403er?
RE: iptables apache anbindung - fulltilt - 03-01-2008 09:14 PM
Rene Wrote:bei den zwei meldungen möchtest du sperren? oder nur beim 403er?
Wenn es geht - ansonsten würde ich bei der letzen gerne sperren:
Code:
failregex = <HOST> - -.*File does not exist: /htdocs.*Nur wie bekomme ich das hin?
Hierbei kann ich ja nicht wie oben <HOST> verwenden:
[error] [client 122.160.0.202]
RE: iptables apache anbindung - Rene - 03-01-2008 09:17 PM
Code:
failregex = [.* [error] [client <HOST>].*so wird jeder host gesperrt der eine error meldung in deinem log produziert
RE: iptables apache anbindung - fulltilt - 03-01-2008 09:29 PM
Wäre das so richtig mit dem File does not exist: /htdocs
Code:
failregex = [.* [error] [client <HOST>] File does not exist: /htdocs.*Rene Wrote:Code:
failregex = [.* [error] [client <HOST>].*
so wird jeder host gesperrt der eine error meldung in deinem log produziert
RE: iptables apache anbindung - Rene - 03-01-2008 09:32 PM
ja ist auch richtig, das ".*" ist eine Variable...
du kannst die natürlich auch "füllen"