danielhhrulez
Hallo, wie kann man am besten script kiddis, cracker, ect. fern halten?
Also z.b. es benutzt einer ein tool um zich anfragen zu starten die dazu führt den apache im grentzbereich arbeiten zu lassen, dass der praktisch unbrauchbar wird weil der zu beschäftigt ist. Wie hält man solche leute am besten fern, wenn die immer von einer IP kommen?
Habe für den fall bis jetzt noch keine möglichkeit gefunden. habe in der susefirewall2 nichts endsprechendes gefunden zum ausgrentzen von IPs. Wollte gern solche IPs in einem Fall gern in der Firewall blocken spätestens in der /etc/deny.host
ein deny from xxx.xxx.xxx.xxx in der httpd.conf führte nur zu einem fehler der apache garnicht erst wieder starten ließ.
hat da jemand gute vorschläge? sollte am besten über eine datei machbar sein wo man diese IPs dann einträgt und nach einer zeit wieder entfernen kann ohne sich erst die zich iptables regeln zu durchsuchen.
.iCode
Das ein Scriptkiddy einen Server "zu Tode pingt" ist seht unwahrscheinlich. Dafür brächte er eine größere Bandbreite als der Server, der ja wahrscheinlich in einem Rechenzentrum mit Standleitung angeschlossen ist.
Ansonsten solltet du deine Software einfach immer auf dem neusten Stand halten. Dann bist du schon ziemlich gut abgesichert.
hoffie
iptables auf dem zu schützenden PC halte ich bei 95% aller Aufgaben für schwachsinnig. Genauso hier -- solche Sachen werden IMO viel besser via deny.hosts gelöst. Apache Deny from geht genauso -- wenn das bei dir nicht funktioniert, machst du was falsch.
| Zitat: |
| Hallo, wie kann man am besten script kiddis, cracker, ect. fern halten? |
So wenig Dienste wie möglich, lokale Dienste auch nur an lokale Interfaces binden, aktuelle Software einsetzen, keine Dienste als root laufen lassen, Webanwendungen sicher programmieren, Kernelpatches zur "Speicherüberwachung"/zur Einschränkung der Rechte von lokalen Usern benutzen, Kernel ohne LKM Support bauen, Kernel aktuell halten, Rechte nicht zu allgemein setzen, ....
Snake
| Zitat: |
Original von .iCode
Das ein Scriptkiddy einen Server "zu Tode pingt" ist seht unwahrscheinlich. Dafür brächte er eine größere Bandbreite als der Server, der ja wahrscheinlich in einem Rechenzentrum mit Standleitung angeschlossen ist. |
du vergisst, dass das kiddi auch einen server haben kann.
bzw. gibts da so tolle gruppen wir haben botnets aus mehreren roots. wenn die mal auf ne kiste losgehen dann is sense....hatte das schon...(syn flood aufn apache)
hoffie
| Zitat: |
Original von Snake
du vergisst, dass das kiddi auch einen server haben kann. |
Jop, meistens nur keine eigenen. -g-
| Zitat: |
| bzw. gibts da so tolle gruppen wir haben botnets aus mehreren roots. wenn die mal auf ne kiste losgehen dann is sense....hatte das schon...(syn flood aufn apache) |
Syn Flood auf Apache?
Versteh ich nicht ganz.. Unter Syn Flood verstehe ich das Halb-Aufbauen von TCP-Verbindungen, die mitten im Handshake abgebrochen werden und so die freien "Buffer" für neue Verbindungen im System belegen. Die Requests kommen also nie beim Apache an -- was hat das also damit zu tun? :o
Snake
leider doch.
der apache macht ja accept() und verharrt dann da...gar nicht gut...
vermute ich jedenfalls.
weil im netstat hat man eindeutig auf port 80 ein "SYN_RECV" gesehen. apache war down und alles andere gieng ohne probs
danielhhrulez
und wie kann ich nun in der deny.host nun IPs sperren?
einfach die IPs eintragen?
habe nur das nötigste als root laufen, apache, teasmspeak ect. alles auf extra benutzer, updates sind aktuell. jedoch kam letztens dazu, dass wer meinte den apache mit anfragen zuzumüllen von der selben ip aus. streams und teasmspeak lief alles ohne probleme weiter. cpu last war auch ok, nur apache wollte keine anfragen mehr wirklich beantworten und wenn doch dann sehr langsam.
Snake
ach glaub mir, das bringt gar nix.
wenns jemand ernst meint, spooft er ips. dann kannste aussperren so lange du willst
Brik
Zumal Apache killen/neustarten bei weitem nich so lange wie das Einstellen solcher Konfigurationen dauert.
Snake
dann darfst aber oft neu starten.
ihr habt wohl noch nie ne attacke aufn apache erlebt...
