Server wird gescanned


K

Kato

Registered User
Ein Webserver wird im Moment mit webshag gescanned. Im Log sieht das dann so aus:

"HEAD /Weber/ HTTP/1.1" 301 - "-" "webshag/1.10"

Was würdet ihr tun um es dem Scanner etwas schwieriger zu machen?
Ip per Iptables blocken macht ja keinen Sinn, da er sich flugs eine neue zuweisen lässt.
Connection rate per iptables reduzieren? Hitcount

Oder gibt es ein Modul für den Apache, mit der man diese Head requests blocken kann?
 
Googel mal nach Apf oder Csf sind so zusagen Firewall Frontends.
Csf kann so eingestellt werden das direckt beim ersten scannen, die ip geblockt wird.
Da bringt im ne neue ip nicht viel.
 
Das Blockieren basierend auf USER_AGENT String ist sinnfrei und haelt nur die Logfile etwas freier da alle etwas mit der Materie bewanderten diesen einem "echten" Browser anpassen. (Never trust user input!)

Alles was du machen kannst ist behaviour-based Blocking, also zB die Anzahl und Geschwindigkeit von TCP-Verbindungen begrenzen (ipTables mit hashlimit oder connlimit), die besuchten Seiten analysieren (mod_evasive) und versuchte Angriffe blockieren (mod_security).
Besucher basierend auf vordefinierten Informationen (User-Agent, IP-Adresse, Javascript-Kompatibilitaet, ...) zu blockieren hilft in aller Regel nichts und gibt nur eine Trugsicherheit.

Bei entsprechender KOnfiguration solltest du aber acht geben dass du eine restriktivere robots.txt abgelegt hast, sonst "bestrafen" zB Google-Bots deine Seite evtl bei Nichterreichbarkeit oder langsamen Ladezeiten.
 
MOD: Fullquote entfernt.

Vielen Dank. Ja das mit dem Userinput stimmt natürlich. Ich denke ich werde mir mod_security mal etwas genauer anschauen.
 
Last edited by a moderator:
Vielleicht hilft die das Tool "Fail2Ban" auch dabei die Anzahl der Angriffe zu reduzieren.

Dann könntest du sogar deine Angriffe an blocklist.de melden, von dort aus werden die Angriffe dann an die jeweiligen Abuse-Abteilungen der ISPs verteilt.
 
Kato said:
MOD: Fullquote entfernt.

Vielen Dank. Ja das mit dem Userinput stimmt natürlich. Ich denke ich werde mir mod_security mal etwas genauer anschauen.
Click to expand...

Mit der Installation von mod_security hat es sich nicht getan. Man braucht dazu auch noch Regeln.
Das funktioniert ähnlich wie bei den IPtables. Die Distro stellt dir das Paket, konfigurieren musst du selber.

Fertige Regeln kann man unter anderem bei gotroot finden. Sie sind sehr umfangreich und haben zahlreiche Ausnahmen um False Positives bei bekannten CMS etc. zu vermeiden.
Die kostenlose Version ist leider mindestens 90 tage älter, als deren aktuelle Fassung.

Eine Alternative sind die Core Rules
Das letzte mal, als ich mir diese angeschaut habe (ist aber schon ca. 1 Jahr her), gab es dort keine Ausnahmeregelungen für bekannte CMS, Dies hatt zur Folge, dass man bei jeder Installation erst einmal lange frickeln musste, um alle false positive Meldungen abzustellen.
 
You must log in or register to reply here.

Back
Top