mod_evasive greift nicht / test.pl aber schon!?

[IckZ]

Hallo zusammen,
ich habe vor kurzem meinen Server neu aufgesetzt: Alles lief wie problemlos und schien zu funktionieren.. Während eines Stresstests habe ich gestern allerdings festgestellt, dass mod_evasive überhaupt nicht mehr greift.

Komischerweise verlief der von mod_evasive mitgelieferte Test über die test.pl erfolgreich ab und löste aus!

Hier die config-Datei:

<IfModule  mod_evasive20.c>
   DOSHashTableSize 3097
   DOSPageCount 2
   DOSSiteCount 50
   DOSPageInterval 1
   DOSSiteInterval 1
   DOSBlockingPeriod 10
   DOSEmailNotify christiangerwig@web.de
</IfModule>

Im syslog & error.log (/var/logs) konnte ich nichts auffälliges sehen. Die access.logs werden allerdings seperat für jeden vhost im jeweiligen vhost-Verzeichnis gespeichert. Könnte es daran liegen?

Laut phpinfo ist das Modul natürlich geladen . Ich nutze Debian und php5

Häng ich auf einer meiner Seiten die f5-Taste ein, passiert leider genau das, was nicht passieren sollte...

Hat einer von euch ne Idee?

 

[GwenDragon]

Hast du ein Verzeichnis, in dem mod_evasive auch die gesperrten Hosts ablegt?
Stichpunkt DOSLogDir in deiner Konfig.

DOSLogDir /var/lock/apache2/mod_evasive

Ist in /var/lock/apache/mod_evasive was zu finden? Wenn ja, welche Rechte hat das Verzeichnis?
Ansonsten werd nämlich in /tmp Dateien namens dos_.... reingeworfen.

 

[IckZ]

Hey,
ich habe die config schon mit und ohne der Angabe von DOSLogDir getestet.

Habs jetzt mal wieder aufgenommen (allerdings so

DOSLogDir "/var/lock/mod_evasive"

)

Das sind die Rechte:

drwxr-xr-x 2 www-data root 4096 18. Sep 14:40 mod_evasive

In dem Ordner liegt nur die Datei von meinem Test

dos-127.0.0.1

edit:// Oder hat sich an mod_evasive irgendwas geändert? Simple "f5-refresh-floodings" müsste es doch blocken?!

 

[IckZ]

Ich hoffe, dass ein Doppelpost erlaubt ist, wenn die Lösung gefunden ist

Ich habe eigentlich nicht mehr gemacht, als die .conf-Datei noch mal anzulegen und die services neu zu sarten. Danach ist mir aufgefallen, dass meine 2. Test-IP endlich auch in dem lock-Ordner auftaucht. Komischweise funktioniert von evasive die bantime nicht. Man bekommt kaum mit, dass man gesperrt wird. Mittels fail2ban wird jetzt jedenfalls die error-log durchgesehen und Flooder für 10Minuten gesperrt.

Trotzdem vielen Dank für die Hilfe!

 

[s24!]

Welchen Apache-MPM nutzt du? Ich habe in einem häufig angegriffenen mpm_itk-Setup das Problem, dass mod_evasive überhaupt nicht funktionieren kann - die Prozesse sterben ja nach einem Request wieder. Haben da eine Eigenentwicklung im Einsatz (mit "Pseudo-Intelligenz").

 

[IckZ]

@s24!: Ich habe den prefork im Einsatz und mittlerweile funktioniert mod_evasive auch so wie es soll. Trotzdem vielen Dank für den Hinweis!

Ich kann jedem nur empfehlen fail2ban auch auf mod_evasive auszurichten. Ich konnte das Sperren der User allein durch mod_evasive vorher kaum wahrnehmen.

z.B. wie hier erklärt: http://spielwiese.la-evento.com/xelasblog/archives/57-Fail2ban-als-Ergaenzung-zu-mod_evasive.html