PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Port 80 angegriffen



ulf123
06.08.2006, 15:03
Hallo leute ich habe das Problem das der Port 80 meines Servers
suse linux zu gespammt wird.. Hostname des angreifers hab ich.... was kann ich gegen diesen angriff tun?
Firewall bringt nichts

MfG Ulf

hex
06.08.2006, 15:20
Warum sollte Firewall nichts bringen. Wenn du den Port 80 richtig blockst, dann kann dir da nichts passieren! Zeig lieber mal die Logs, auf denen deine Annahme beruht!

EDIT: Hart verlesen! Vergesst meinen Nonsens! Sorry ;)


mfg hex

chb
06.08.2006, 15:26
Wenn er einen Server hat läuft vermutlich schon ein Webserver - da ist das Blocken per Firewall sicher etwas kontraproduktiv :-)

theton
06.08.2006, 15:51
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source <IP-des-Angreifers> -j DROP

Was daran jetzt kontra-produktiv ist, ist mir ein Raetsel. Man muss ja nicht immer die Ports gleich fuer alle sperren.

Mir stellt sich nur die Frage woran du festmachst, dass es sich um einen Angriff handelt.

sono
06.08.2006, 19:14
Definier mal angreifen.

Und vor allem was fürn tool sagt dir denn dass es sich um nen angriff handeln soll?

mcas
06.08.2006, 19:57
Man kann auch mit mod_security für den Apache den Traffic auf Port 80 filtern.

ulf123
06.08.2006, 20:41
ganz einfach der apache hatte 2 ports 80 und 443...

so 80 ist jetzt zu drum hab ich einen teil auf 81 gestellt... keine 2 stunden später war der auch zu

ein techniker außem RZ hat volgenen hostname gefunden
h984904.serverkompetenz.net .



server:~ # iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source 81.169.135.165 -j DROP
iptables: No chain/target/match by that name



Danke für die schnellen antworten

theton
06.08.2006, 21:23
Versuch mal bei dem IPTables-Befehl noch das Protokoll zusaetzlich anzugeben (-p tcp). Ansonsten schau mal, was 'iptables -L' auswirft. Wenn es z.B. ein SuSE-Rechner ist, auf dem die SuSE-FW aktiv ist, wird die INPUT-Chain durch eine von SuSE definierte ersetzt.