nabend allerseits!
Ich denke viele von euch kennen das Unix-programm "denyhosts" (http://denyhosts.sourceforge.net/).
Gibt es sowas auch für Apache2? Beim durchgehen einiger meiner alten Logs habe ich viele Fehlzugriffe der Art:
(die Liste ist natürlich nicht vollständig - so hat der selbige ca. 50 Zugriffe pro Sekunde gemacht)
Sprich: man versucht mittels Bots einen Angriffspunkt/Ziel zu finden. Selbst wenn er nicht fündig werden sollte - so stellt sowas ein ziehmlich unnötiger Last für den Apache dar (weiss ich aus vergangenheit) - auch wenn dies vielleicht vom Angriff nicht immer beabsichtigt ist.
Ich fände es von daher sinnvoll, wenn ein Programm (ähnlich wie bei denyhosts) die apache/error-logs durchforstet und dementsprechend IPs bannt.
Ich denke mittels gut ausgewählte Regeln kann man schnell herausfinden ob es sich um einen verirrten User (der sicherlich keine 50Urls innerhalb einer Sekunde aufrufen kann
), oder um einen pösen Hacker handelt.
Ich denke viele von euch kennen das Unix-programm "denyhosts" (http://denyhosts.sourceforge.net/).
Gibt es sowas auch für Apache2? Beim durchgehen einiger meiner alten Logs habe ich viele Fehlzugriffe der Art:
Code:
[Wed Jan 17 14:51:54 2007] [error] [client 87.106.54.195] File does not exist: C:/wamp/htdocs/phpMyAdmin-2.6.0
[Wed Jan 17 14:51:54 2007] [error] [client 87.106.54.195] File does not exist: C:/wamp/htdocs/phpMyAdmin-2.6.0-pl1
[Wed Jan 17 14:51:54 2007] [error] [client 87.106.54.195] File does not exist: C:/wamp/htdocs/phpMyAdmin-2.6.3-pl1
[Wed Jan 17 14:51:54 2007] [error] [client 87.106.54.195] File does not exist: C:/wamp/htdocs/phpMyAdmin-2.6.3
[Wed Jan 17 14:51:54 2007] [error] [client 87.106.54.195] File does not exist: C:/wamp/htdocs/phpMyAdmin-2.6.3-rc1
[Wed Jan 17 14:51:54 2007] [error] [client 87.106.54.195] File does not exist: C:/wamp/htdocs/phpMyAdmin-2.6.2-rc1(die Liste ist natürlich nicht vollständig - so hat der selbige ca. 50 Zugriffe pro Sekunde gemacht)
Sprich: man versucht mittels Bots einen Angriffspunkt/Ziel zu finden. Selbst wenn er nicht fündig werden sollte - so stellt sowas ein ziehmlich unnötiger Last für den Apache dar (weiss ich aus vergangenheit) - auch wenn dies vielleicht vom Angriff nicht immer beabsichtigt ist.
Ich fände es von daher sinnvoll, wenn ein Programm (ähnlich wie bei denyhosts) die apache/error-logs durchforstet und dementsprechend IPs bannt.
Ich denke mittels gut ausgewählte Regeln kann man schnell herausfinden ob es sich um einen verirrten User (der sicherlich keine 50Urls innerhalb einer Sekunde aufrufen kann
), oder um einen pösen Hacker handelt.
