Sowas wie deneyhosts für Apache ???

rethus

rethus

Registered User
Kennt vielleicht jemand ein Script, das so wie Denyhosts hackerangriffe blockt, jedoch für Angriffe auf den Apache?

Mir geht es darum, das ich in meinen Apache-error.log - Dateien immer wieder sehe, das da jemand nach hintertüren á la "phpmyadmin etc." sucht.

Natürlich versuchen solche Hacker nun nicht nur eine Verzeichniserweiterung, sondern sie versuchen Hintereinander viele Möglichkeiten...

Nun wäre ein Script toll, das wie deneyhost diese IP erkennt, und für eine Bestimmte Zeit den Zugriff auf den Webserver Blockt.
 
Jap,
mod_security + mod_evasive (+ iptables) sind geeignet.

Andererseits, wenn du keine alten Versionen von phpMyAdmin benutzt, kannst du die Scans ruhig ignorieren.
 
Danke schon mal...
mod_security hab ich mir noch nicht angesehen, werde ich aber mal machen.

Klar, wenn ich das einoder andere Programm nicht nutze, kann man sich das schon sparen... aber mir geht es ums Prinzip.

Umso früher ich den pennern den Spass verderben kann, um so besser :D

Ausserdem hat es schon einen Schutzeffekt. Vielleicht nutze ich kein phpmyadmin etc... aber die Sache ist ja so:
Nehmen wir an ich würde phpmyadmin nutzen... wenn die Script-Kiddis nun 5 versuche gemacht hätten in meine Kiste einzusteigen (sagen wir: admin, plesk, confix, webmin, mysql) riegelt das Script ab... so ist das Risiko minimiert, das sie letztendlich doch noch ein Programm finden, das sie hacken können.. und darum gehts mir...

Also vielen Dank schon mal... werde mich mal nach Euren empfehlungen umsehen.
 
Die "Hack" Versuche kommen doch sicherlich alle direkt ueber die Ip des Servers?

Ich habe es bei mir so gemacht, dass alle Anfragen auf Port 80, die ueber die Ip kommen (also nicht ueber die Domain), auf eine leere Seite umgeleitet werden.
Momentan teste ich es, diese Anfragen auf Google umzuleiten. Klappt eigentlich ganz gut. Wenn man deren Anfrage in den Browser eintippt, bekommt man Google-Suchergebnisse fuer deren Query String :D

z.B.
MeineIP/xampp/phpmyadmin/tbl_select.php wird nach
http://www.google.de/search?q=xampp/phpmyadmin/tbl_select.php umgeleitet. Das entlastet zumindest schon mal das error Log.
 
Guin said:
Die "Hack" Versuche kommen doch sicherlich alle direkt ueber die Ip des Servers?

Ich habe es bei mir so gemacht, dass alle Anfragen auf Port 80, die ueber die Ip kommen (also nicht ueber die Domain), auf eine leere Seite umgeleitet werden.
Momentan teste ich es, diese Anfragen auf Google umzuleiten. Klappt eigentlich ganz gut. Wenn man deren Anfrage in den Browser eintippt, bekommt man Google-Suchergebnisse fuer deren Query String :D

z.B.
MeineIP/xampp/phpmyadmin/tbl_select.php wird nach
http://www.google.de/search?q=xampp/phpmyadmin/tbl_select.php umgeleitet. Das entlastet zumindest schon mal das error Log.
Click to expand...


Lustige Spielerei, aber wäre es unter Verwendung von mod_security nicht sogar möglich, solche Anfragen direkt an die Anfrage IP zurückzuverweisen?
 
Anfragen direkt an die Anfrage IP zurückzuverweisen?
Click to expand...
Hm.. ja :D
"redirect" heisst der Befehl dafuer. Waere ja mal lustig, wenn ein Angreifer bei sich ein verwundbares System hat und sich freut, wenn er erfolgreich eingedrungen ist ;)

Aber mod_security muss dafuer erst mal aktiv werden. D.h. man muss die Regeln gut anpassen.

[edit] Das mit den Umleiten auf die angreifende IP ist mit mod_security doch nicht ganz so einfach, da man in den Regeln keine Variablen einsetzen kann. Ich lasse mich da aber gerne eines besseren belehren.
Man koennte die erkannten Angriffe auf ein eigenes Skript umleiten, welches dann die Client IP bedient.
 
Last edited by a moderator:
So nach langer Zeit wärm ich diesen Thread nochmal auf.

ich habe mir nun aktuell mod_secure installiert, und hier (Got Root : mod_security rules) direkt ein paar brauchbare Standard-Regeln runter geladen.

Meine Frage jetzt:

Wie gehe ich vor, um eine IP aus der error_log von apache auszulesen, welche schon ethliche Male mit der gleichen Anfrage versucht hat, ein phpmyadmin-System zu finden, welches nicht da ist - und dieses dann zu blocken (via deneyhost, oder ipchains
 
You must log in or register to reply here.
Back
Top