NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 26.06.2010, 14:49   #1
[HOW2] mod_evasive konfigurieren
SP4C3 SP4C3 ist offline 26.06.2010, 14:49

Hi,
oft ist es einfach einen kleinen Webserver außer Betrieb zu setzen. Ein aufwendiges Script, oft genug aufgerufen lässt den Server in die Knie gehen. Der Denial of Service (DoS) ist geschafft. Unter anderem um dem Vorzubeugen, gibt es für den Apache Webserver mod_evasive. Die Konfiguration ist einfach aber effizient.
Mod Evasive führt eine HOstTabelle, und sobald eine gewisse Anfrageschwelle pro Host überschritten wird, bekommt dieser ein 403 access denied. Zusätzlich kann der Admin per Mail benachrichtigt werden und ein Shell  Befehl ausgeführt werden.
Unter Debian lenny installiert man das Modul mit :
Code:
apt-get install libapache2-mod-evasive
Danach gehts an die Konfiguration.
Erst das Modul aktivieren.
Code:
a2enmod mod-evasive
Dann die Apache2 Konfiguration anpassen. Unter Debian in der /etc/apache2/apache2.conf folgende Zeile anhängen:

Code:
<IfModule mod_evasive20.c>
    DOSHashTableSize    3097 # Größe der HostHashTabelle, Je größer desto schneller, je kleiner desto weniger Ram Verbrauch
    DOSPageCount        10 # Request pro Intervall auf eine Seite von einem Host
    DOSSiteCount        50 # Requests pro Intervall auf einer Domain von einem Host
    DOSPageInterval     1 # o.g. Intervall für die Requests pro Seite in s
    DOSSiteInterval     1 # o.g. Intervall pro Domain
    DOSBlockingPeriod   10 # Dauer der Blokade in s
    DOSWhitelist 127.0.0.1 # Whitelist
    DOSEmailNotify "adminEmailAddresse" # BenachrichtigungsEmailaddresse 
    DOSSystemCommand    "sudo /sbin/iptables -A INPUT -s %s -j DROP" # Befehl der bei erkanntem DOS versuch ausgeführt werden soll
</IfModule>
Die Kommentare (alles ab dem # in einer Zeile), dienen zur erläuterung hier. Sie müssen in der Apacheconfig entfernt werden!
Der Befehl unter DOSSystemCommand sorgt dafür, dass alle Pakete von der AngreiferIP gedropt werden. Somit wird dem Angreifer suggeriert, der Server sei nicht mehr erreichbar(Timeout).
Edit:
Sollen automatische Firewallregeln angelegt werden (via DOSSystemCommand wie hier) ist das Paket 'sudo'(kann bei anderen Distributionen als Debian anders heißen) nötig.
Damit www-data diese Firewallregel einrichten darf, muss sudo installiert sein und in der /etc/sudoers folgende Zeile hinzu gefügt werden.

Code:
www-data ALL=(ALL) NOPASSWD: /sbin/iptables -A INPUT -s [0-9.]* -j DROP
Ein Neustart des alten Indianers aktiviert den ganze Spass.

ACHTUNG::: SPERRT EUCH NICHT SELBST AUS BEIM TESTEN. SOLLTET IHR VON EUREM "HOMEPC" EINEN TEST DER CONFIG DURCHFÜHREN, DENKT DARAN, DASS ALLE PAKETE VON EUREM PC DANN GEDROPT WERDEN, AUCH SSH PAKETE:::

Gruß
SP4C3

Ge?ndert von SP4C3 (13.11.2010 um 23:25 Uhr). Grund: HINWEIS HINZUGEFÜGT

 
Benutzerbild von SP4C3
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 331
Hits: 55993
Mit Zitat antworten
Folgende 13 Benutzer sagen Danke zu SP4C3 für den nützlichen Beitrag:
$iMpLy (26.06.2010), bejay (26.10.2010), Castor (28.02.2012), destination (27.06.2010), DoLo (09.03.2011), gotthummer (26.06.2010), HaBe (26.06.2010), Lex (27.06.2010), rodi (27.06.2010), storker (26.06.2010), Thunder™ (26.06.2010), wagaman (27.06.2010), xatnyS (31.01.2011)
Alt 26.06.2010, 14:59   #2
gotthummer
Master Coder
 
Benutzerbild von gotthummer
 
Registriert seit: 10.03.2008
Ort: Zuhause
Beitr?ge: 8.037
Abgegebene Danke: 1.199
Erhielt 2.928 Danke für 266 Beiträge
Downloads: 28
Uploads: 9
Nachrichten: 357
Renommee-Modifikator:
10 gotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehen
Standard

Super erklärt so sollte es nun wirklich jeder installt bekommen
__________________
Code:
require_once('include/gehirn.php'); 

session_start(); 

if(empty($action)) 
{   
  echo "<td class="tablea">Kopf anstrengen und Nachdenken</td>"; 
}
else
{   
  echo "<td class="tablea">Kopf zuviel angestrenkt nun Qualmt er ;)</td>";
}





gotthummer ist offline   Mit Zitat antworten Nach oben
Alt 26.06.2010, 22:27   #3
DirtyPlaya
König
Punkte: 34.966, Level: 100 Punkte: 34.966, Level: 100 Punkte: 34.966, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von DirtyPlaya
 
Registriert seit: 18.04.2008
Beitr?ge: 1.615
Abgegebene Danke: 99
Erhielt 195 Danke für 37 Beiträge
Downloads: 36
Uploads: 0
Nachrichten: 20
Renommee-Modifikator:
2211 DirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes AnsehenDirtyPlaya genießt hohes Ansehen
Standard

ich hab fail2ban kommt ziemlich aufs gleiche raus
__________________
PHP-Code:
1.
2.
3.
4.
5.
6.
7.
<?
if ($CODER == "yes") {
header("Herzlich Willkommen mein Meister! Tue und lasse was du willst :)");
}else{
stderr("ôÕ Wat willst du den hier geh dort hin zurück wo du hergekommen bist!");
}
?>
DirtyPlaya ist offline   Mit Zitat antworten Nach oben
Alt 27.06.2010, 10:43   #4
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

Zitat:
Was ist Fail2Ban?

Fail2Ban durchsucht Logdateien wie /var/log/pwdfail oder /var/log/apache/error_log und blockt IP-Adressen, die zu viele fehlgeschlagene Loginversuche haben. Es aktualisiert Firewallregeln, um diese IP-Adressen zu sperren. Fail2Ban kann mehrere Logfiles lesen - beispielsweise die von sshd oder apache. Die IP-Adressen werden nach einer vorher festgelegten Zeitspanne wieder aktiviert.
wohl kaum ....
das hilft da wohl eher nicht ...

zumal fail2ban extern ist und mod-evasive auf Apache-interne Funktionen aufsetzt ...
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 27.06.2010, 13:31   #5
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Themenstarter Themenstarter
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

Genau Cerb.
mod_evasive reagiert auf unmenschlich viele Seitenaufrufe von einer IP.

fail2ban auf fehlgeschlagene Logins.
SP4C3 ist offline   Mit Zitat antworten Nach oben
Alt 27.06.2010, 13:35   #6
Thunder™
König
Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89
Levelaufstieg: 12% Levelaufstieg: 12% Levelaufstieg: 12%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Badboy Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Helfer
Benutzer besitzt 1x Spamer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Profi
 
Benutzerbild von Thunder™
 
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0
Nachrichten: 11697
Renommee-Modifikator:
3552 Thunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes Ansehen
Standard

und beides schützt nicht vor massiven Dos Attacken,
wenn einer dos loslässt ok schafft der mod_evasive noch..
aber wenn mehere dran sind haste auch damit keine chance
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein.
Thunder™ ist offline   Mit Zitat antworten Nach oben
Alt 27.06.2010, 14:43   #7
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Themenstarter Themenstarter
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

Ich hab auch nicht behauptet, dass du damit nen massiven DDoS abwehren kannst.
Spätestens, wenn die Bandbreite der Angreifer größer als deine ist hast du eh keine Chance, außer du schaffst es die IPs bevor sie in dein Netz geroutet werden ins Nirvana zu routen...
SP4C3 ist offline   Mit Zitat antworten Nach oben
Alt 27.06.2010, 15:26   #8
rodi
Profi
Punkte: 6.196, Level: 51 Punkte: 6.196, Level: 51 Punkte: 6.196, Level: 51
Levelaufstieg: 23% Levelaufstieg: 23% Levelaufstieg: 23%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Helfer Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Hilfe Level 3
 
Benutzerbild von rodi
 
Registriert seit: 04.08.2008
Beitr?ge: 816
Abgegebene Danke: 289
Erhielt 89 Danke für 11 Beiträge
Downloads: 9
Uploads: 0
Nachrichten: 97
Renommee-Modifikator:
1037 rodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehen
Standard

Bei mir kommt beim apache restart immer folgende Meldung:

Code:
Restarting web server: apache2Syntax error on line 290 of /etc/apache2/apache2.conf:
DOSHashTableSize takes one argument, Set size of hash table
 failed!
__________________

Hacken ist der kreative Umgang mit Technologien, somit ist das Kochen einer Tütensuppe auch ein Hack!
rodi ist offline   Mit Zitat antworten Nach oben
Alt 27.06.2010, 18:57   #9
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Themenstarter Themenstarter
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

Dann schau doch mal in Zeile 290 deiner ApacheConfig, oder poste die hier...
SP4C3 ist offline   Mit Zitat antworten Nach oben
Alt 28.06.2010, 00:02   #10
rodi
Profi
Punkte: 6.196, Level: 51 Punkte: 6.196, Level: 51 Punkte: 6.196, Level: 51
Levelaufstieg: 23% Levelaufstieg: 23% Levelaufstieg: 23%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Helfer Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Hilfe Level 3
 
Benutzerbild von rodi
 
Registriert seit: 04.08.2008
Beitr?ge: 816
Abgegebene Danke: 289
Erhielt 89 Danke für 11 Beiträge
Downloads: 9
Uploads: 0
Nachrichten: 97
Renommee-Modifikator:
1037 rodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehenrodi genießt hohes Ansehen
Standard

Dort steht genau das drin, was oben im Thread als erforderlich angegeben ist!

Code:
DOSHashTableSize    3097 # Größe der HostHashTabelle, Je größer desto schneller, je kleiner desto weniger Ram Verbrauch
Ich habe auch die Größe schon geändert, jedoch immer die selbe Meldung.
__________________

Hacken ist der kreative Umgang mit Technologien, somit ist das Kochen einer Tütensuppe auch ein Hack!
rodi ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:11 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS