httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Mario Brandt <jbl...@gmail.com>
Subject Re: Brute-Foce-Angriff trotz mod_removeip abwehren?
Date Mon, 10 Dec 2012 19:40:48 GMT
Reindl hat Recht.  Ich nutze fail2ban welches die Logs vom apache auswerten
kann und dann automatisch in die IP tables einträgt.

Gruß
Mario

2012/12/9 Reindl Harald <h.reindl@thelounge.net>:
>
>
> Am 09.12.2012 12:49, schrieb Michael Renner:
>> wir betreiben einen Apache 2.2.16 unter Debian. Die primäre Anwendung ist
>> Wordpress mit sehr vielen Sites. Wegen des Datenschutzes kommt mod_removeip zu
>> Einsatz, das die IP-Adresse der Clients wohl schon sehr früh in der
>> Verarbeitungskette ausfiltert. Wordpress bekommt von der IP-Adresse auf jeden
>> Fall nichts mehr mit.
>>
>> Nun gibt es gelegentlich Brute-Force-Angriffe auf die Loginseiten und auch
>> DOS-Angriffe auf die einzelnen Sites.
>>
>> Wir mochten nach einer bestimmten Anzahl von Zugriffen/IP/Zeiteinheit gerne
>> für diese IP dicht machen. Aber wie, wenn die IP immer 127.0.0.1 lautet?
>
> Das gehört lange VOR dem Apache gemacht!
>
> Schon alleine weil du damit auch DOS-attacken abfederst weil
> ein guter Teil gar nicht mehr bis zum Webserver kommt und mehr
> als 150 connections / 2 sekunden und IP sind selten normal
>
>  iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --set
>  iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 2
--hitcount 150 -j DROP
>  iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 2
--hitcount 150 -m limit
> --limit 60/h -j LOG  --log-prefix "Firewall Rate-Control: "
> ______________________________________________
>
> Das bracuht es auch damit 150-200 funktioniert!
>
> [root@srv-rhsoft:~]$ cat /etc/modprobe.d/iptables-recent.conf
> options ipt_recent ip_list_tot=10000 ip_pkt_list_tot=200
>

---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org


Mime
View raw message