angriffe auf web-server

Dieses Thema im Forum "Firewalls" wurde erstellt von dramen, 09.03.2005.

  1. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    hallo!

    ich habe in meiner access_log in etwa folgenden eintrag (kommt oft vor - immer wieder die gleiche ip-adresse):
    62.178.130.127 - - [08/Mar/2005:23:15:16 +0000] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\
    .
    .
    .
    x90\x02\xb1\x02\xb1" 414 334

    ich vermute dass da jemand versucht einen pufferüberlauf auf meinem server zu erzeugen!?

    problem: habe gestern folgendes gemacht: iptables -A INPUT -s 62.178.130.127 -j DROP .... und trotzdem der gleiche "angriff"!? das mit iptables müsste doch normalerweise funktionieren?!?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Immer von derselben IP? IMHO bringt das Filtern von IPs bei FW-Einträgen nicht sonderlich viel und ist eher gefährlich (bei nicht-Heimmachinen) da du möglicherweise die Proxies grosser ISPs aussperrst ;).
     
  4. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    was mich aber interessiert wieso es nicht funktioniert?!? mit diesem iptables-befehl müsste der kernel doch jeden zugriff mit dieser ip-adresse verwerfen. oder funktioniert das nicht?!
     
  5. #4 HangLoose, 09.03.2005
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin,

    es kommt auch drauf an, wo die regel steht. wenn du in deinem script *weiter oben* ne regel hast, die alles auf port 80 durchlässt etc., dann greift die *DROP regel* nicht mehr.


    eventuell ist das ja das problem.


    Gruß HL
     
  6. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    den befehl habe ich auf der konsole eingetippt. da müsste der doch so lange gelten bis der computer rennt!?
     
  7. #6 monarch, 10.03.2005
    monarch

    monarch Schattenparker

    Dabei seit:
    13.02.2005
    Beiträge:
    222
    Zustimmungen:
    0
    Tut er. Aber mit -A setzt du ihn ans Ende aller Filterregeln. Und wenn das Paket vorher schon auf eine Regel passt greift das nicht mehr.

    Probier mal "-I 1 " statt "-A "
     
  8. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    meinst du -I ... also i wie ida: iptables -I INPUT -s 62.178.130.127 -j DROP damit die regel an den anfang gesetzt wird.
     
  9. RTDI

    RTDI Jungspund

    Dabei seit:
    02.06.2005
    Beiträge:
    13
    Zustimmungen:
    0
    Ort:
    Österreich
    ich vermute die fehlt die netzmaske bzw der bereich fuer die ip adresse

    sprich
    iptables -A INPUT -s 62.178.130.127/32 -j DROP

    bzw das eingehende interface angeben

    /edit:
    wobei ich persoenlich wuerde bei tcp sogar -j REJECT verwenden :devil:
     
  10. #9 Sir Auron, 03.06.2005
    Sir Auron

    Sir Auron Routinier

    Dabei seit:
    26.04.2004
    Beiträge:
    482
    Zustimmungen:
    0
    Dann ist der Server anfälliger für DOS Attacken.
     
  11. RTDI

    RTDI Jungspund

    Dabei seit:
    02.06.2005
    Beiträge:
    13
    Zustimmungen:
    0
    Ort:
    Österreich
    es ging ja nur um die eine ip adresse...

    ich hab ja nicht gesagt, dass diese aktion automatisiert erfolgen soll
     
  12. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    aus der iptables-manpage:
    REJECT
    This is used to send back an error packet in response to the matched packet: otherwise it is equivalent to DROP so it is a terminating TARGET, ending rule traversal.

    ich würde lieber drop verwenden da es keine rückmeldung gibt!

    sonst hat das so schon funktioniert!!
     
  13. #12 monarch, 03.06.2005
    monarch

    monarch Schattenparker

    Dabei seit:
    13.02.2005
    Beiträge:
    222
    Zustimmungen:
    0
    Ida, ja. Sorry, "-I INPUT 1" heißt das, nicht "-I 1 INPUT ".


    Du machst:
    Code:
    iptables -I INPUT 1 -s 62.178.130.127 -j DROP
    
    Und die Regel steht an Stelle 1 im Regelwerk.
     
  14. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  15. #13 Sir Auron, 03.06.2005
    Sir Auron

    Sir Auron Routinier

    Dabei seit:
    26.04.2004
    Beiträge:
    482
    Zustimmungen:
    0
    Trotzdem haben Server und Angreifer genug Bandbreite genügt ein Angreifer, um den Apachen flach zu legen.
     
  16. #14 YellowSPARC, 03.06.2005
    YellowSPARC

    YellowSPARC Doppel-As

    Dabei seit:
    12.12.2004
    Beiträge:
    113
    Zustimmungen:
    0
    Ort:
    Berlin
    Kleiner Tip am Rande (im Ernstfall läge das Kind schon im Brunnen): Probiere iptables-Anweisungen immer erst mit -j LOG aus.

    1. sieht man dann im Syslog erstmal was passierenwürde, bevor man sich versehentlich aus dem root-Server ausgesperrt hat (peinlich, teuer, schon den besten Leuten passiert)

    2. Kann man dann die "scharfe" DROP-Regel an das LOG anhängen, sonst werden nämlich die erfolgten DROPs nicht geloggt, und ermöglichen ggfs. Tools wie logcheck oder fwstate nicht zu reagieren

    Optimalerweise sollte man das -j LOG noch mit einem --burst Agument versehen, damit das log nicht geflutet wird und sich die Resistenz gegen DDOS verbessert.

    just my 2Cents
     
Thema:

angriffe auf web-server

Die Seite wird geladen...

angriffe auf web-server - Ähnliche Themen

  1. Neue Angriffe auf DH-Verschlüsselung

    Neue Angriffe auf DH-Verschlüsselung: Nicht der Algorithmus an sich, aber seine Implementation in zahlreichen Servern, Client-Anwendungen und Webbbrowsern gefährdet die Sicherheit und...
  2. Linux-Kernel soll vor Angriffen warnen

    Linux-Kernel soll vor Angriffen warnen: Eine neue Kernel-Funktion soll Warnungen ins Log schreiben, wenn der Kernel erkennt, dass versucht wird, eine bereits geschlossene...
  3. CentOS - Sicherheit vor Viren oder Hackangriffen

    CentOS - Sicherheit vor Viren oder Hackangriffen: Hallo Community, ich möchte mir in den nächsten Monaten einen Rootserver zulegen und mich in nächster Zeit intensiv in CentOS 6 einarbeiten....
  4. Bruteforce-Angriffe auf FTP mit PF verhindern

    Bruteforce-Angriffe auf FTP mit PF verhindern: Hallo Leute, ich bin gerade dabei, mir einen FTP-Server mit OpenBSD 5.0 aufzusetzen. Eigentlich läuft schon alles so weit, allerdings würde ich...
  5. Statistik über Hackerangriffe und Kosten gesucht

    Statistik über Hackerangriffe und Kosten gesucht: Tach! ich arbeite gerade an einer Präsentation über Firewalls und benötige dafür eine Statistik über Hackerangriffe und was diese für finanzielle...