Hallo leute ich habe das Problem das der Port 80 meines Servers
suse linux zu gespammt wird.. Hostname des angreifers hab ich.... was kann ich gegen diesen angriff tun?
Firewall bringt nichts

MfG Ulf

Warum sollte Firewall nichts bringen. Wenn du den Port 80 richtig blockst, dann kann dir da nichts passieren! Zeig lieber mal die Logs, auf denen deine Annahme beruht!

EDIT: Hart verlesen! Vergesst meinen Nonsens! Sorry ;)


mfg hex

Wenn er einen Server hat läuft vermutlich schon ein Webserver - da ist das Blocken per Firewall sicher etwas kontraproduktiv :-)

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source <IP-des-Angreifers> -j DROP

Was daran jetzt kontra-produktiv ist, ist mir ein Raetsel. Man muss ja nicht immer die Ports gleich fuer alle sperren.

Mir stellt sich nur die Frage woran du festmachst, dass es sich um einen Angriff handelt.

Definier mal angreifen.

Und vor allem was fürn tool sagt dir denn dass es sich um nen angriff handeln soll?

Man kann auch mit mod_security für den Apache den Traffic auf Port 80 filtern.

ganz einfach der apache hatte 2 ports 80 und 443...

so 80 ist jetzt zu drum hab ich einen teil auf 81 gestellt... keine 2 stunden später war der auch zu

ein techniker außem RZ hat volgenen hostname gefunden
h984904.serverkompetenz.net .



server:~ # iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source 81.169.135.165 -j DROP
iptables: No chain/target/match by that name



Danke für die schnellen antworten

Versuch mal bei dem IPTables-Befehl noch das Protokoll zusaetzlich anzugeben (-p tcp). Ansonsten schau mal, was 'iptables -L' auswirft. Wenn es z.B. ein SuSE-Rechner ist, auf dem die SuSE-FW aktiv ist, wird die INPUT-Chain durch eine von SuSE definierte ersetzt.