Current time: 11-23-2024, 12:02 PM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[Erledigt] iptables apache anbindung
Author Message
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #21
RE: iptables apache anbindung
hm, hatte bisher noch keine größeren angriffe, aber werde das mal weiter beobachten...
02-25-2008 01:50 AM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #22
RE: iptables apache anbindung
ist bei mir schon öfter mal eingefroren das fail2ban ...
Nur wenn ich die maxretry von 1 auf 10 setze, nützt es ja nichts bei einem Rootkit Installations Versuch ... den will ich ja sofort blocken.

Rene Wrote:hm, hatte bisher noch keine größeren angriffe, aber werde das mal weiter beobachten...
(This post was last modified: 02-25-2008 01:57 AM by fulltilt.)
02-25-2008 01:57 AM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #23
RE: iptables apache anbindung
ja das ist schon klar, aber wie gesagt, wenn du die regel erstellst, geht der dann das entsprechende logfile erstmal durch und wendet die regel an.
nützt dir ja anfangs nichts... deswegen würde ich das erstmal hochsetzen und danach kannst du es ja wieder ändern Wink
02-25-2008 01:59 AM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #24
RE: iptables apache anbindung
Hi Rene,

mit maxretry=2 scheint das jetzt zu klappen.

Habe hier noch 2 Logs in der apache-error.log ...
Kann man diese in eine regex zusammenfassen oder wie kann man das am besten umsetzen?

Code:
[Sat Mar 01 04:44:09 2008] [error] [client 122.160.0.202] ModSecurity: Access denied with code 403 (phase 2). Pattern match "/sumthin" at REQUEST_URI. [uri "/sumthin"] [unique_id "96naN8MYTXsAAC4gNdMAAAA1"]

[Sat Mar 01 11:20:53 2008] [error] [client 221.140.33.61] File does not exist: /htdocs
03-01-2008 08:54 PM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #25
RE: iptables apache anbindung
bei den zwei meldungen möchtest du sperren? oder nur beim 403er?
03-01-2008 09:05 PM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #26
RE: iptables apache anbindung
Rene Wrote:bei den zwei meldungen möchtest du sperren? oder nur beim 403er?

Wenn es geht - ansonsten würde ich bei der letzen gerne sperren:
Code:
failregex = <HOST> - -.*File does not exist: /htdocs.*

Nur wie bekomme ich das hin?
Hierbei kann ich ja nicht wie oben <HOST> verwenden:
[error] [client 122.160.0.202]
03-01-2008 09:14 PM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #27
RE: iptables apache anbindung
Code:
failregex = [.* [error] [client <HOST>].*

so wird jeder host gesperrt der eine error meldung in deinem log produziert
(This post was last modified: 03-01-2008 09:18 PM by Rene.)
03-01-2008 09:17 PM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #28
RE: iptables apache anbindung
Wäre das so richtig mit dem File does not exist: /htdocs
Code:
failregex = [.* [error] [client <HOST>] File does not exist: /htdocs.*

Rene Wrote:
Code:
failregex = [.* [error] [client <HOST>].*

so wird jeder host gesperrt der eine error meldung in deinem log produziert
03-01-2008 09:29 PM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #29
RE: iptables apache anbindung
ja ist auch richtig, das ".*" ist eine Variable...

du kannst die natürlich auch "füllen" Wink
03-01-2008 09:32 PM
Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)