httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Reindl Harald <h.rei...@thelounge.net>
Subject Re: Brute-Foce-Angriff trotz mod_removeip abwehren?
Date Sun, 09 Dec 2012 12:01:08 GMT


Am 09.12.2012 12:49, schrieb Michael Renner:
> wir betreiben einen Apache 2.2.16 unter Debian. Die primäre Anwendung ist 
> Wordpress mit sehr vielen Sites. Wegen des Datenschutzes kommt mod_removeip zu 
> Einsatz, das die IP-Adresse der Clients wohl schon sehr früh in der 
> Verarbeitungskette ausfiltert. Wordpress bekommt von der IP-Adresse auf jeden 
> Fall nichts mehr mit.
> 
> Nun gibt es gelegentlich Brute-Force-Angriffe auf die Loginseiten und auch 
> DOS-Angriffe auf die einzelnen Sites. 
> 
> Wir mochten nach einer bestimmten Anzahl von Zugriffen/IP/Zeiteinheit gerne 
> für diese IP dicht machen. Aber wie, wenn die IP immer 127.0.0.1 lautet?

Das gehört lange VOR dem Apache gemacht!

Schon alleine weil du damit auch DOS-attacken abfederst weil
ein guter Teil gar nicht mehr bis zum Webserver kommt und mehr
als 150 connections / 2 sekunden und IP sind selten normal

 iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --set
 iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 2 --hitcount
150 -j DROP
 iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 2 --hitcount
150 -m limit
--limit 60/h -j LOG  --log-prefix "Firewall Rate-Control: "
______________________________________________

Das bracuht es auch damit 150-200 funktioniert!

[root@srv-rhsoft:~]$ cat /etc/modprobe.d/iptables-recent.conf
options ipt_recent ip_list_tot=10000 ip_pkt_list_tot=200


Mime
View raw message