Gefährliche IP-Adressen

  • Ach du Sch***. Das sieht ja richtig schön übersichtlich aus.
    Danke dafür, ich setz es mal testweise in eine Config ein. :)

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Also,das Problem ist doch nicht gelöst.


    Laut ramstein schreibt froxlor recht viel müll ins error.log, er sagt, vorher war das nicht (kann ich mir nicht vorstellen, hab alles rückgängig gemacht).


    Naja, ich weiss jetzt nicht weiter, hoffe ihr könnt helfen, das Problem mit Froxlor und das mit HTaccess beheben.



    gruss ubuntu

  • Trotz HTTP RBL schaffen es immernoch solche Leute in mein Logfile. zB versucht eine IP seit heute, ein RoudCube zu hacken, welches bei mir aber nicht vorhanden ist ;)


    Liste aktualisiert (1x RoundCube-Scanner, 1x phpMyAdmin-Scanner)

  • Ich setze seit Jahren schon eigene Erkennungsscripte ein, die alle geblockten IP's für eine bestimmte Zeit in einer DB speichern und dann in den jeweiligen Konfigurationsdateien blockieren. Zusätzlich werden diese Listen mit einigen anderen Daten gefüttert, z.B. vom Jürgen seiner Liste bzw. WordPress Plugin: http://jaritsch.at/wordpress_spam_ip_blocker/ip_list.txt



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • re,


    hatte da noch eine anzubieten: 92.243.78.50


    Wie schaut das aus ... Ich habe die list nun direkt in die httpd.conf gepflanzt.
    Kann ich auf diesem Wege auch ganze Subnetze sperren ?


    Sprich 1.2.*.* ?

  • Zitat von ramstein;23637

    Kann ich auf diesem Wege auch ganze Subnetze sperren ?


    Apache Configuration
    RewriteEngine On
    RewriteCond %{REMOTE_ADDR} ^1\.2\.(.*)\.(.*)$
    RewriteRule .* [L,F]


    Bei mehreren IPs mit [OR] nach der Condition verknüpfen ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Subnetze würde ich nicht sperren, da sie oft ziemlich willkürlich geroutet werden. Ich hatte mal 3 direkt aufeinanderfolgende IPs aus drei verschiedenen Staaten.
    Wenn dem nicht so wäre, hätte ich längst primitive Hinterländer wie Indien, China, Ungarn, Rumänien, Russland, Ukraine und wie sie alle heißen, gesperrt. Mehr als Spam und Angriffe kriegen wir aus diesen Staaten doch eh nicht.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Zitat von ___;23642
    Code
    deny from 1.2.


    alternativ

    Code
    deny from 1.2.0.0/16


    Ups, die Möglichkeit hatte ich schon wieder vergessen. Danke für den Hinweis :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Moin, mal eine Frage zur .htaccess - wo erstelle ich diese ? Ist es so gemeint wie hier angegeben http://www.gargi.org/showthread.php?1246-Phpmyadmin-auf-Debian-installiere
    (noch nicht ausgeführt)


    Hatte sämtliche IP-Adresssen über die Firewall geblockt, ist etwas zu umständlich. Jeder IP - die im logfile steht, einen Angriff versucht zu haben, füge ich wieder in die Firewall ein....


    Dann mal das hier http://www.howtoforge.de/howto…auf-apache2-debian-lenny/


    installiert, Server läuft. Sollte funktionieren.


    Dann aber auch was anderes gefunden http://www.abuse.ch/?p=126
    installiert und.... nun komme ich selber nicht mehr über http rein.
    Also wieder weg damit. Oder gibt es hier eine Lösung ?


    Wäre es dann doch besser wie hier angegeben die .htaccess zu erstellen und die black ip sebst einzustellen ?


    Nur, ist das richtig, wie ich oben angegeben habe ?


    Gruß Taurin

  • Habe heute Eintrage in der access.log gehabt. Was sagen diese Eintrage aus ?


    85.184.15.7 - - GET /web/scripts/setup.php HTTP/1.1" 404 274 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
    85.184.15.7 - - GET /webadmin/scripts/setup.php HTTP/1.1" 404 278 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
    85.184.15.7 - - GET /webdb/scripts/setup.php HTTP/1.1" 404 275 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
    85.184.15.7 - - GET /websql/scripts/setup.php HTTP/1.1" 404 276 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" .... und noch mehr


    217.199.212.165 - - GET //pmadmin/ HTTP/1.1" 404 266 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"....und noch mehr


    Also, das jemand versucht hat, auf diese Verzeichnisse zuzugreifen. Schon klar. Verzeichnisse gibt es nicht.


    Wen es die geben würde, hätten diese IP´s dann auf diese Verzeichnisse Zugriff gehabt ? Was tun ?


    Also schaue ich mir access.log - error.log - mail.log an, sperre ip Adressen in der Firewall, von denen ein Angriff au den Server gestartet wird und das möglichst regelmäßig ? !


    Bin ich hier auf dem richtigen Weg ?

  • Du könntest das Ganze z.B. mit fail2ban automatisieren. Dann wird jeder der nach einer eingestellten Anzahl versucht hat auf nicht existierende Datein zuzugreifen in der Firewall gesperrt.

  • Hallo Leute,


    bin mir jetzt nicht sicher, aber arbeitet fail2ban nicht mit iptables, und auf diese haben wir bei einer VM ja keinen Zugriff.


    Desweiteren glaube ich dass fail2ban nur für ssh funktioniert?!? Kann mich da aber auch irren.


    lg Darian

  • fail2ban kannst du konfigurieren wie du willst. Du kannst damit alles mögliche analysieren und auch komplett eigene Scripte ausführen lassen, die den Bann dann erledigen. Das könnte z.B. ein Script sein, dass die IP beim Apache blockt oder gleich im VCP. Für letzteres gibt es im Forum etwas fertiges.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Wie du failban dazu bewegst mit der OpenVCP Firewall zusammen zu arbeiten ist hier sehr gut beschrieben. Funktioniert bei mir wunderbar und du kannst es auch so einstellen, dass es Mail, Apache usw. überwacht.

  • Habe jetzt mal DenyHost nach der Anleitung installiert


    http://www.el-mediaagentur.com…enyhosts-sicherer-machen/


    Scheint zu klappen....
    Wer kann mir denn folgende Zeilen erläutern ?
    Muss oder soll ich die IP denn auch noch in die Firewall unterbringen ?


    var/log/denyhost
    2010-11-23 13:28:57,839 - denyhosts : INFO new denied hosts: ['62.193.245.181']


    var/log/auth.log habe ich dann einige Zeilen stehen


    sshd[9382]: error writing /proc/self/oom_adj: Permission denied
    sshd[9382]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=wpc3070.boogie-times.fr user=root
    sshd[9382]: Failed password for root from 62.193.245.181 port 47507 ssh2


    10 Mal mit verschiedenen ports


    postfix/smtpd[3235]: sql auxprop plugin using mysql engine
    CRON[16257]: pam_unix(cron:session): session opened for user root by (uid=0)
    CRON[16257]: pam_unix(cron:session): session closed for user root


    Dieses dann auch zehn mal.


    Eine Mail bekommen mit Ihnhalt:
    Added the following hosts to /etc/hosts.deny:
    62.193.245.181 (wpc3070.boogie-times.fr)