aber doch ziemlich rechenintensiv die ganze regex durchzugehn?
Gefährliche IP-Adressen
- ubuntu
- Erledigt
-
-
Ach du Sch***. Das sieht ja richtig schön übersichtlich aus.
Danke dafür, ich setz es mal testweise in eine Config ein. -
und hier ne ref. blacklist
-
Also,das Problem ist doch nicht gelöst.
Laut ramstein schreibt froxlor recht viel müll ins error.log, er sagt, vorher war das nicht (kann ich mir nicht vorstellen, hab alles rückgängig gemacht).
Naja, ich weiss jetzt nicht weiter, hoffe ihr könnt helfen, das Problem mit Froxlor und das mit HTaccess beheben.
gruss ubuntu
-
Trotz HTTP RBL schaffen es immernoch solche Leute in mein Logfile. zB versucht eine IP seit heute, ein RoudCube zu hacken, welches bei mir aber nicht vorhanden ist
Liste aktualisiert (1x RoundCube-Scanner, 1x phpMyAdmin-Scanner)
-
Ich setze seit Jahren schon eigene Erkennungsscripte ein, die alle geblockten IP's für eine bestimmte Zeit in einer DB speichern und dann in den jeweiligen Konfigurationsdateien blockieren. Zusätzlich werden diese Listen mit einigen anderen Daten gefüttert, z.B. vom Jürgen seiner Liste bzw. WordPress Plugin: http://jaritsch.at/wordpress_spam_ip_blocker/ip_list.txt
MfG Christian
-
Habe die regeln auch einmal eingebaut, kann ja nicht schaden...
thx
-
re,
hatte da noch eine anzubieten: 92.243.78.50
Wie schaut das aus ... Ich habe die list nun direkt in die httpd.conf gepflanzt.
Kann ich auf diesem Wege auch ganze Subnetze sperren ?Sprich 1.2.*.* ?
-
-
-
Subnetze würde ich nicht sperren, da sie oft ziemlich willkürlich geroutet werden. Ich hatte mal 3 direkt aufeinanderfolgende IPs aus drei verschiedenen Staaten.
Wenn dem nicht so wäre, hätte ich längst primitive Hinterländer wie Indien, China, Ungarn, Rumänien, Russland, Ukraine und wie sie alle heißen, gesperrt. Mehr als Spam und Angriffe kriegen wir aus diesen Staaten doch eh nicht. -
-
Moin, mal eine Frage zur .htaccess - wo erstelle ich diese ? Ist es so gemeint wie hier angegeben http://www.gargi.org/showthread.php?1246-Phpmyadmin-auf-Debian-installiere
(noch nicht ausgeführt)Hatte sämtliche IP-Adresssen über die Firewall geblockt, ist etwas zu umständlich. Jeder IP - die im logfile steht, einen Angriff versucht zu haben, füge ich wieder in die Firewall ein....
Dann mal das hier http://www.howtoforge.de/howto…auf-apache2-debian-lenny/
installiert, Server läuft. Sollte funktionieren.
Dann aber auch was anderes gefunden http://www.abuse.ch/?p=126
installiert und.... nun komme ich selber nicht mehr über http rein.
Also wieder weg damit. Oder gibt es hier eine Lösung ?Wäre es dann doch besser wie hier angegeben die .htaccess zu erstellen und die black ip sebst einzustellen ?
Nur, ist das richtig, wie ich oben angegeben habe ?
Gruß Taurin
-
Habe heute Eintrage in der access.log gehabt. Was sagen diese Eintrage aus ?
85.184.15.7 - - GET /web/scripts/setup.php HTTP/1.1" 404 274 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.184.15.7 - - GET /webadmin/scripts/setup.php HTTP/1.1" 404 278 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.184.15.7 - - GET /webdb/scripts/setup.php HTTP/1.1" 404 275 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.184.15.7 - - GET /websql/scripts/setup.php HTTP/1.1" 404 276 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" .... und noch mehr217.199.212.165 - - GET //pmadmin/ HTTP/1.1" 404 266 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"....und noch mehr
Also, das jemand versucht hat, auf diese Verzeichnisse zuzugreifen. Schon klar. Verzeichnisse gibt es nicht.
Wen es die geben würde, hätten diese IP´s dann auf diese Verzeichnisse Zugriff gehabt ? Was tun ?
Also schaue ich mir access.log - error.log - mail.log an, sperre ip Adressen in der Firewall, von denen ein Angriff au den Server gestartet wird und das möglichst regelmäßig ? !
Bin ich hier auf dem richtigen Weg ?
-
Denke das sind so automatische Hack-Programme, die versuchen verschiedene Lücken auszunutzen.
lg Darian
-
Du könntest das Ganze z.B. mit fail2ban automatisieren. Dann wird jeder der nach einer eingestellten Anzahl versucht hat auf nicht existierende Datein zuzugreifen in der Firewall gesperrt.
-
Hallo Leute,
bin mir jetzt nicht sicher, aber arbeitet fail2ban nicht mit iptables, und auf diese haben wir bei einer VM ja keinen Zugriff.
Desweiteren glaube ich dass fail2ban nur für ssh funktioniert?!? Kann mich da aber auch irren.
lg Darian
-
fail2ban kannst du konfigurieren wie du willst. Du kannst damit alles mögliche analysieren und auch komplett eigene Scripte ausführen lassen, die den Bann dann erledigen. Das könnte z.B. ein Script sein, dass die IP beim Apache blockt oder gleich im VCP. Für letzteres gibt es im Forum etwas fertiges.
MfG Christian
-
-
Habe jetzt mal DenyHost nach der Anleitung installiert
http://www.el-mediaagentur.com…enyhosts-sicherer-machen/
Scheint zu klappen....
Wer kann mir denn folgende Zeilen erläutern ?
Muss oder soll ich die IP denn auch noch in die Firewall unterbringen ?var/log/denyhost
2010-11-23 13:28:57,839 - denyhosts : INFO new denied hosts: ['62.193.245.181']var/log/auth.log habe ich dann einige Zeilen stehen
sshd[9382]: error writing /proc/self/oom_adj: Permission denied
sshd[9382]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=wpc3070.boogie-times.fr user=root
sshd[9382]: Failed password for root from 62.193.245.181 port 47507 ssh210 Mal mit verschiedenen ports
postfix/smtpd[3235]: sql auxprop plugin using mysql engine
CRON[16257]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[16257]: pam_unix(cron:session): session closed for user rootDieses dann auch zehn mal.
Eine Mail bekommen mit Ihnhalt:
Added the following hosts to /etc/hosts.deny:
62.193.245.181 (wpc3070.boogie-times.fr)