Länder sperren

[fulltilt]

Ich möchte gerne bestimmte unerwünschte Länder aussperren, von denen ständig Angriffe erfolgen, unötige Load, Traffic und Arbeit verursachen.
Ich habe dabei keine moralischen Bedenken, da für diese länder die gesperrt werden sollen auch keine Services angeboten werden.
Habe dazu eine Seite gefunden die fertige Sheets anbietet die in eine .htaccess eingebunden werden können.
Link

Ist es möglich anstatt einzelner .htaccess auch das ganze für alle v-hosts z.B. in die http.conf einzubinden und wie müsste das dann aussehen?

Code:

deny from 58.
deny from 59.

[joximu]

Hi Ralph

ich vermute mal, wenn du das ausserhalb eines <VirtualHost> einbindest, sollte es für alle klappen. Habs aber nicht getestet. Könnte so aussehen:

Code:

<Directory />
Order allow,deny
deny from 58.
deny from 59.
</Directory>

sowas in der Art... als 00_fremdblocker.conf in /etc/apache2/sites-enabled speichern :-)

Gruss J

[rbtux]

wieso machst du das nicht auf kernel ebene mit iptables??

iptables -A INPUT -s 59.0.0.0/8 -j DROP

oder so...

[fulltilt]

Hi joximu,

werde es mal so versuchen ...
SSH ist ganz gut abgesichert und damit habe ich momentan keine Probleme mehr.
Dafür habe ich in meinen modsecurity2 logs am Tag ungefähr 300 Versuche Rootkits über PHP zu installieren ...
Manche Scripts sind ewig lange und verursachen beim blocken extremen Load.
Dann auch jede menge UserAgents und Spambots - wird immer heftiger

joximu Wrote:Hi Ralph

ich vermute mal, wenn du das ausserhalb eines <VirtualHost> einbindest, sollte es für alle klappen. Habs aber nicht getestet. Könnte so aussehen:

Code:

<Directory />
Order allow,deny
deny from 58.
deny from 59.
</Directory>

sowas in der Art... als 00_fremdblocker.conf in /etc/apache2/sites-enabled speichern :-)

Gruss J

[fulltilt]

rbtux Wrote:wieso machst du das nicht auf kernel ebene mit iptables??

iptables -A INPUT -s 59.0.0.0/8 -j DROP

oder so...

Ist auch eine Möglichkeit ...
Was wäre effektiver?

Werde erst mal mit dem apache testen wg. dem handling ...

[rbtux]

tja über kernel hättest du auch keine connects auf postfix etc... das heisst weniger spam...

[joximu]

Wirklich effektiver wäre natürlich die Methode mit iptables - da kommt Apache gar nicht erst ins Spiel, es wird einfach jeglicher Netzwerkverkehr aus diesen Bereichen abgelehnt.

Du hast wohl keine Kunden-Websites... :-)

/J

[fulltilt]

Brasilien, China, Ukraine ...

Die ballern eine Kiste so zu, das ich ständig eingreifen muss und nicht mehr zum arbeiten komme.
Wenn darunter auch die Performance und die Sicherheit von Kundenwebs leidet, entscheide ich mich für das abblocken.
Ist ja nicht erst seit ein paar Tagen, das geht jetzt über Jahre so ...

joximu Wrote:Wirklich effektiver wäre natürlich die Methode mit iptables - da kommt Apache gar nicht erst ins Spiel, es wird einfach jeglicher Netzwerkverkehr aus diesen Bereichen abgelehnt.

Du hast wohl keine Kunden-Websites... :-)

/J

[joximu]

Offtopic:
Ich hab halt ein Kunde, der öfters mal auch in China ist... blocken liegt da nicht drin, da er auch während den anderen Zeiten mit den Leuten dort kommunizieren muss...

Es ist halt zweischneidig. Ich denke, wenn man fail2ban so einrichten könnte, dass die IPs mit Angriffsanfragen geblockt werden...
Das sollte möglich sein...???

Gruss J

[fulltilt]

Hi joximu,

Habe fail2ban im Einsatz und auch modsecurity2 mit jeder Menge Rules von gotroot ... dann noch iptables mit synflood rules ...
Manchmal waren Attacken oder Spamerei so heftig das fail2ban einfach gecrashed ist.

Ich habe jetzt das gröbste mit IPtables geblockt:
Brasilien komplett
Russland und Ukraine teilweise
Korea, Hong Kong und China teilweise
(habe da eine gute Sammlung gefunden)
http://www.wizcrafts.net/chinese-blocklist.html

Ich habe vorher auch trotz Amavis und Spamfighting Howtos hier aus dem Forum noch ca. 100 Spammails am Tag die durchkamen.

Die iptables sind jetzt seit 3 Stunden aktiv und bislang kam keine einzige.

Ich denke das die Vorteile eher überwiegen und wenn ein Kunde dazwischen ist der Probleme hat, da kann ein IP Bereich wieder aufgemacht werden.

joximu Wrote:Offtopic:
Ich hab halt ein Kunde, der öfters mal auch in China ist... blocken liegt da nicht drin, da er auch während den anderen Zeiten mit den Leuten dort kommunizieren muss...

Es ist halt zweischneidig. Ich denke, wenn man fail2ban so einrichten könnte, dass die IPs mit Angriffsanfragen geblockt werden...
Das sollte möglich sein...???

Gruss J