Attacker automatisch aussperren?
Redaktionelle Einordnung
Diese archivierte Diskussion behandelt Attacker automatisch aussperren? aus Sicht der Rubrik Security Sonstige.
Sicherheits- und HTTPS-Themen wirken heute direkt auf Vertrauen, Rendering-Stabilität und technische Risiken der Website ein.
Sinnvoll nutzbar bleibt der Thread vor allem als historischer Kontext, für typische Fragestellungen und zur Einordnung älterer Empfehlungen.
Startbeitrag
Archivierter Thread aus dem Seitenreport-Forum.
Mache mir gerade Gedanken, wie z. B. "ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'controller' (attacker '123.123.123.123') automatisch aus der Errorlog als "Deny from 123.123.123.123" übernommen werden kann. Das tritt bei mir gerade wieder gehäuft auf, oft mit der gleichen IP. Oder gibt es da schon eine Lösung?
Antworten
3 BeiträgeHallo Lutz,
Mehrere Stufen sind gut machbar. Gut ist, das es vernünftig dedektiert worden ist noch besser, du hast es gemerkt. 90% merkens nicht. lol.
1. Stufe, man trackt die ip und schaut nach dem Provider/Hoster und teilt dem das mit. Im Europäischen Raum wird da auch reagiert. Manchmal gibts dafür auch nen "Danke". Viele merken nicht das der Server oder Rechner bereits den Besitzer gewechselt haben.
Je nach system gibt es eine denyhost.* dort die ip eintragen.
Je nach firewall in eine blacklist /dauerblockierend Liste eintragen. Dann ist erstmal Pause-Urlaub.
Fail2ban zwischen zuschalten ist auch ne Prima sache. Sperre auf 10 minuten, dann ist der grösste Teil erledigt.
romacron schrieb:
Hallo Lutz,
Mehrere Stufen sind gut machbar. Gut ist, das es vernünftig dedektiert worden ist noch besser, du hast es gemerkt. 90% merkens nicht. lol.
1. Stufe, man trackt die ip und schaut nach dem Provider/Hoster und teilt dem das mit. Im Europäischen Raum wird da auch reagiert. Manchmal gibts dafür auch nen "Danke". Viele merken nicht das der Server oder Rechner bereits den Besitzer gewechselt haben.
Je nach system gibt es eine denyhost.* dort die ip eintragen.
Je nach firewall in eine blacklist /dauerblockierend Liste eintragen. Dann ist erstmal Pause-Urlaub.
fail2ban zwischen zuschalten ist auch ne Prima sache. Sperre auf 10 minuten, dann ist der grösste Teil erledigt.
OK, die Errorlog zeigt natrlich nur die erfolgreich abgewehrten Attacken. Aber, kleiner Erfolg, zwei von den gesperrten IP´s tauchen jetzt so auf: [client 123.123.123.123] client denied by server configuration
Deiner 1. Stufe werde ich folgen und melden.
Zu denyhost: meine einzige Möglichkeit ist Order Allow,Deny. Das ist wohl das Gleiche?
Auf Firewall habe ich mit Server managed keinen Zugriff, das Gleiche gilt für die Installation von fail2ban.
Was mir vorschwebt, ist grob gesagt ein grep, der ALERT aus der Errorlog holt und die IP an ein Deny from schickt. Nur möglichst nicht manuell. Das könnte man vielleicht mit Scripting und Cron hinbekommen, aber ...
..okay, du wolltest das mit der .htaccess erledigen?
die denyhost liegt im /etc/* im server-root. (die meinte ich).
Nun ist die Frage was Nervebert auf deinem Server versucht?
Die rgernisse so weit oben wie mglich abfangen--> Richtung Firewall
Managed heisst in Deinem Falle, der hoster bietet den Service und hält dein System in Ordnung?
Ich nehme mal an, dass eine virtualiseriungs-lösung bei dir zum Einsatz kommt. Wenn du den "ClientNode" voll zur Verfügung hast, sollte das sicher was zu machen sein.
Wie ich dich kenne wirst auf nem vernünftigen System hosten...