NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 26.06.2010, 14:49  
[HOW2] mod_evasive konfigurieren
SP4C3 SP4C3 ist offline 26.06.2010, 14:49

Hi,
oft ist es einfach einen kleinen Webserver außer Betrieb zu setzen. Ein aufwendiges Script, oft genug aufgerufen lässt den Server in die Knie gehen. Der Denial of Service (DoS) ist geschafft. Unter anderem um dem Vorzubeugen, gibt es für den Apache Webserver mod_evasive. Die Konfiguration ist einfach aber effizient.
Mod Evasive führt eine HOstTabelle, und sobald eine gewisse Anfrageschwelle pro Host überschritten wird, bekommt dieser ein 403 access denied. Zusätzlich kann der Admin per Mail benachrichtigt werden und ein Shell  Befehl ausgeführt werden.
Unter Debian lenny installiert man das Modul mit :
Code:
apt-get install libapache2-mod-evasive
Danach gehts an die Konfiguration.
Erst das Modul aktivieren.
Code:
a2enmod mod-evasive
Dann die Apache2 Konfiguration anpassen. Unter Debian in der /etc/apache2/apache2.conf folgende Zeile anhängen:

Code:
<IfModule mod_evasive20.c>
    DOSHashTableSize    3097 # Größe der HostHashTabelle, Je größer desto schneller, je kleiner desto weniger Ram Verbrauch
    DOSPageCount        10 # Request pro Intervall auf eine Seite von einem Host
    DOSSiteCount        50 # Requests pro Intervall auf einer Domain von einem Host
    DOSPageInterval     1 # o.g. Intervall für die Requests pro Seite in s
    DOSSiteInterval     1 # o.g. Intervall pro Domain
    DOSBlockingPeriod   10 # Dauer der Blokade in s
    DOSWhitelist 127.0.0.1 # Whitelist
    DOSEmailNotify "adminEmailAddresse" # BenachrichtigungsEmailaddresse 
    DOSSystemCommand    "sudo /sbin/iptables -A INPUT -s %s -j DROP" # Befehl der bei erkanntem DOS versuch ausgeführt werden soll
</IfModule>
Die Kommentare (alles ab dem # in einer Zeile), dienen zur erläuterung hier. Sie müssen in der Apacheconfig entfernt werden!
Der Befehl unter DOSSystemCommand sorgt dafür, dass alle Pakete von der AngreiferIP gedropt werden. Somit wird dem Angreifer suggeriert, der Server sei nicht mehr erreichbar(Timeout).
Edit:
Sollen automatische Firewallregeln angelegt werden (via DOSSystemCommand wie hier) ist das Paket 'sudo'(kann bei anderen Distributionen als Debian anders heißen) nötig.
Damit www-data diese Firewallregel einrichten darf, muss sudo installiert sein und in der /etc/sudoers folgende Zeile hinzu gefügt werden.

Code:
www-data ALL=(ALL) NOPASSWD: /sbin/iptables -A INPUT -s [0-9.]* -j DROP
Ein Neustart des alten Indianers aktiviert den ganze Spass.

ACHTUNG::: SPERRT EUCH NICHT SELBST AUS BEIM TESTEN. SOLLTET IHR VON EUREM "HOMEPC" EINEN TEST DER CONFIG DURCHFÜHREN, DENKT DARAN, DASS ALLE PAKETE VON EUREM PC DANN GEDROPT WERDEN, AUCH SSH PAKETE:::

Gruß
SP4C3

Ge?ndert von SP4C3 (13.11.2010 um 23:25 Uhr). Grund: HINWEIS HINZUGEFÜGT

 
Benutzerbild von SP4C3
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 331
Hits: 55461
Mit Zitat antworten
Folgende 13 Benutzer sagen Danke zu SP4C3 für den nützlichen Beitrag:
$iMpLy (26.06.2010), bejay (26.10.2010), Castor (28.02.2012), destination (27.06.2010), DoLo (09.03.2011), gotthummer (26.06.2010), HaBe (26.06.2010), Lex (27.06.2010), rodi (27.06.2010), storker (26.06.2010), Thunder™ (26.06.2010), wagaman (27.06.2010), xatnyS (31.01.2011)
Alt 30.01.2011, 13:13   #21
Timil
Neuling
Punkte: 1.863, Level: 25 Punkte: 1.863, Level: 25 Punkte: 1.863, Level: 25
Levelaufstieg: 63% Levelaufstieg: 63% Levelaufstieg: 63%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Timil
 
Registriert seit: 12.08.2008
Beitr?ge: 3
Abgegebene Danke: 0
Erhielt 0 Danke für 0 Beiträge
Downloads: 1
Uploads: 0
Nachrichten: 0
Renommee-Modifikator:
0 Timil befindet sich auf einem aufstrebenden Ast
Standard

ein leerzeichen zwischen size und der tablegroesse und falls das nichts hilft, #kommentar entfernen .
Timil ist offline   Mit Zitat antworten Nach oben
Alt 23.02.2011, 18:59   #22
Sponge
Erfahrener Benutzer
Punkte: 23.729, Level: 94 Punkte: 23.729, Level: 94 Punkte: 23.729, Level: 94
Levelaufstieg: 38% Levelaufstieg: 38% Levelaufstieg: 38%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Angel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Helfer Benutzer besitzt 1x Ideen-Spender
 
Benutzerbild von Sponge
 
Registriert seit: 18.10.2009
Beitr?ge: 267
Abgegebene Danke: 46
Erhielt 40 Danke für 9 Beiträge
Downloads: 3
Uploads: 0
Nachrichten: 517
Renommee-Modifikator:
977 Sponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes Ansehen
Standard

Hat einer ne Idee warum evtl. der Mailversand nicht gehen könnte?
Bzw. hat das mal wer getestet?

btw Habe Postfix installiert.
__________________


Sponge ist offline   Mit Zitat antworten Nach oben
Alt 23.02.2011, 19:03   #23
Thunder™
König
Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89
Levelaufstieg: 12% Levelaufstieg: 12% Levelaufstieg: 12%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Badboy Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Helfer
Benutzer besitzt 1x Spamer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Profi
 
Benutzerbild von Thunder™
 
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0
Nachrichten: 11697
Renommee-Modifikator:
3552 Thunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes Ansehen
Standard

schau dir mal die config an von postfix..hat doch nichts mit mod_evasive zu tun..
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein.
Thunder™ ist offline   Mit Zitat antworten Nach oben
Alt 23.02.2011, 19:13   #24
Sponge
Erfahrener Benutzer
Punkte: 23.729, Level: 94 Punkte: 23.729, Level: 94 Punkte: 23.729, Level: 94
Levelaufstieg: 38% Levelaufstieg: 38% Levelaufstieg: 38%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Angel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Helfer Benutzer besitzt 1x Ideen-Spender
 
Benutzerbild von Sponge
 
Registriert seit: 18.10.2009
Beitr?ge: 267
Abgegebene Danke: 46
Erhielt 40 Danke für 9 Beiträge
Downloads: 3
Uploads: 0
Nachrichten: 517
Renommee-Modifikator:
977 Sponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes AnsehenSponge genießt hohes Ansehen
Standard

Naja schon weil Postfix an sich funktioniert ja und verschickt auch seine Mails wie es soll ... nur halt nix von mod_evasive ...daher dachte ich liegts wohl daran? :-/ Nach was genau soll ich denn in der postfix conf suchen?
__________________


Sponge ist offline   Mit Zitat antworten Nach oben
Alt 23.02.2011, 19:34   #25
Thunder™
König
Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89
Levelaufstieg: 12% Levelaufstieg: 12% Levelaufstieg: 12%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Badboy Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Helfer
Benutzer besitzt 1x Spamer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Profi
 
Benutzerbild von Thunder™
 
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0
Nachrichten: 11697
Renommee-Modifikator:
3552 Thunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes Ansehen
Standard

schau mal hier

http://www.huschi.net/14_182_de-apac...-abfangen.html

evt die der pfad vom mailer nicht korrekt, ich kann es dir aber nicht genau sagen...
evt hilft es dir....ich hab die mail funktion nicht drin weil ich es überflüssig finde..
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein.
Thunder™ ist offline   Mit Zitat antworten Nach oben
Alt 27.02.2012, 22:21   #26
Flori12345
Profi
Punkte: 22.222, Level: 92 Punkte: 22.222, Level: 92 Punkte: 22.222, Level: 92
Levelaufstieg: 88% Levelaufstieg: 88% Levelaufstieg: 88%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Flori12345
 
Registriert seit: 22.06.2008
Alter: 38
Beitr?ge: 867
Abgegebene Danke: 188
Erhielt 82 Danke für 8 Beiträge
Downloads: 106
Uploads: 0
Nachrichten: 6
Renommee-Modifikator:
0 Flori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geraten
Standard

hi hab das mal insterliert beim freund aufen server weil er sagte die spielen bei ihn rum mit das prog Goodbye aber irgentwie wird damit nix geblockt es wird auch nix inne iptables geschrieben hat da einer vieleicht ne ide wenn ich die index ganz offt öffne kommt
Forbidden

You don't have permission to access /index.php on this server.


aber wie gesagt es wird nix inne iptables eingetragen



währe nett wenn einer helfen könnte


LG Flori
Flori12345 ist offline   Mit Zitat antworten Nach oben
Alt 27.02.2012, 22:50   #27
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Themenstarter Themenstarter
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

Das Forbidden ist sinn der Sache.

mod_evasive wird Standardmäßig erstmal den Zugriff auf die Seite verweigern wenn das Limit überschritten wird.

Das mit iptables musst du schauen
1. netfilter module geladen
2. iptables binary überhaupt da
3. sudo richtig konfiguriert..

etc. pp.
Logfiles sind dein Freund
SP4C3 ist offline   Mit Zitat antworten Nach oben
Alt 12.03.2012, 11:14   #28
Flori12345
Profi
Punkte: 22.222, Level: 92 Punkte: 22.222, Level: 92 Punkte: 22.222, Level: 92
Levelaufstieg: 88% Levelaufstieg: 88% Levelaufstieg: 88%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Flori12345
 
Registriert seit: 22.06.2008
Alter: 38
Beitr?ge: 867
Abgegebene Danke: 188
Erhielt 82 Danke für 8 Beiträge
Downloads: 106
Uploads: 0
Nachrichten: 6
Renommee-Modifikator:
0 Flori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geraten
Standard

haste mal ein tip wie ich das überprüfen kann
Flori12345 ist offline   Mit Zitat antworten Nach oben
Alt 12.03.2012, 20:12   #29
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Themenstarter Themenstarter
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

zu ersterem:
in lsmod sollte ne ganze menge auftauchen
zu 2.
der befehl iptables ist ausführbar.
3.
sudo funktioniert??

Ansonsten probier doch mal eine Paketfilterregel manuell zu setzen.
Somit kann man den Fehler eingrenzen...
SP4C3 ist offline   Mit Zitat antworten Nach oben
Alt 13.03.2012, 12:17   #30
Flori12345
Profi
Punkte: 22.222, Level: 92 Punkte: 22.222, Level: 92 Punkte: 22.222, Level: 92
Levelaufstieg: 88% Levelaufstieg: 88% Levelaufstieg: 88%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Flori12345
 
Registriert seit: 22.06.2008
Alter: 38
Beitr?ge: 867
Abgegebene Danke: 188
Erhielt 82 Danke für 8 Beiträge
Downloads: 106
Uploads: 0
Nachrichten: 6
Renommee-Modifikator:
0 Flori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geratenFlori12345 ist in Verruf geraten
Standard

also iptables is ausfürbar
bei
sudo iptables -A INPUT -s 31.xx.xx.xx -j DROP ///geht ohne Probleme

iptables -A INPUT -s 31.xx.xx.xx -j DROP /// geht auch ohne Probleme

root@ks390xxx:~# iptables -L INPUT -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 31.xx.xx.xx 0.0.0.0/0

also das geht alles
Flori12345 ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:46 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS