Apache "unter Beschuss"

D

doublem

New Member
Bei einem Blick in das error_log meines Apache (2.0.54 unter SUSE 10) habe ich festgestellt, dass mein Server zeitweise 3-5 Requests pro Sekunde von der gleichen IP bekommt. Alles natürlich 404er (/phpbb, /dbadmin usw.), aber es kostet natürlich Last.

Meine Frage: Gibt es ein Programm wie fail2ban in Sachen SSH für HTTP Requests? Kann iptables z.B. eine IP mit mehr als x-Aufrufen pro Minute o.ä. sperren?

Kenn mich leider mit iptables noch nicht aus, benutze bislang die Firewall von Plesk. :o Kann man beide Systeme auch gleichzeitig betreiben oder schreibt die Plesk FW nur das iptables-Skript? Hab hier im Forum noch nichts dazu gefunden.

Vielen Dank!

M.
 
MOD: Full-Quote entfernt!
Danke für den Tipp. Hab mir das angeschaut.

mod_security ist ja sehr umfangreich :eek:

Ich habe aber (auf Got Root : Welcome) keine SecRule gefunden, die eine IP bei zu häufigen Zugriffen temporär sperren kann. Wie kann man das realisieren?

Kann man mod_security nachträglich dem Apachen hinzufügen?

Gruß,

M.
 
Last edited by a moderator:
sollte ich auch mal installieren, hab da auch Anfragen an /var/www/vhosts/default/htdocs/

und denen ein 403 verpassen!
Code: 
SecRule PATH_INFO "^/(default)"
Quelle

@doublem

wenn die Angreifer ein 403 Forbidden bekommen hören sie vielleicht auf mit den Anfragen. Mit einen Eintrag in der httpd.conf sollte das doch auch gehen oder?
Code: 
<Directory "/var/www/vhosts/default">
    AllowOverride None
    Options None
    Order allow,deny
    Deny from all
</Directory>
 
Last edited by a moderator:
MOD: Full-Quote entfernt!

Ich hab's auch vorhin eben entdeckt. Das ist genau das, was ich suche!

Aber wieso googlest Du Deine eigene Page? ;)

Die ist übrigens wirklich echt informativ, sehr zu empfehlen!

Gruß,
M.
 
@huschi

hab Apache 2.0.52

kann ich die
Code: 
<IfModule mod_evasive20.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10
    DOSEmailNotify      webmaster@meine-domain.tld
</IfModule>
auch in die /etc/httpd/conf/httpd.conf eintragen? Hab nämich kein Verzeichnis /etc/httpd/mods_available und /etc/httpd/mods-enabled

oder ich mach in der httpd.conf ein

Include evasive/*.conf

und mach ein Verzeichnis in /etc/httpd/evasive mit der mod_evasive.conf
 
Last edited by a moderator:
Ich hab mir einfach ein Verzeichnis modules erstellt, wo ich eigene Konfigurationen speicher. Das erleichtert auch das Debuggen ;)

Anzumerken sei noch das öfter mal auftretende Problem mit Firefox. Aufgrund der Logik, wie Firefox die Verbindung zum Webserver aufbaut (Anzahl gleichzeitiger Verbindungen etc.) kann es durchaus passieren, dass normale User ausgesperrt werden.
 
marneus said:
Ich hab mir einfach ein Verzeichnis modules erstellt, wo ich eigene Konfigurationen speicher. Das erleichtert auch das Debuggen
Click to expand...
/etc/httpd/modules/modules.conf

und dort dann die <IfModule> </IfModule> Anweisungen rein? In der httpd.conf kommt dann noch ein Include modules/modules.conf

?

So wie ich das sehe bringt mod_evasive aber nix gegen das scannen von Verzeichnissen oder?
 
Last edited by a moderator:
Achtet immer schön brav darauf, welche Dateien das System oder die ISP-Software ohne Rücksicht auf Verluste regelmäßig neu schreibt. :)

Wer sich unsicher ist, legt einfach eine eigene Datei an und includiert diese in der apache2.conf bzw. httpd.conf.

huschi.
 
hier noch ein Howto zu mod_evasive

Update:

hab mod_evasive nun getestet und promt gab es mit den Standardeinstellungen 403 auf meinen Webseiten. mod_evasive würde ich nur instalieren wenn man es denn wirklich benötigt. Ansonsten kann man sich die Arbeit sparen.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top