angriffe auf web-server

Diskutiere angriffe auf web-server im Firewalls Forum im Bereich Netzwerke & Serverdienste; hallo! ich habe in meiner access_log in etwa folgenden eintrag (kommt oft vor - immer wieder die gleiche ip-adresse): 62.178.130.127 - -...

  1. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    hallo!

    ich habe in meiner access_log in etwa folgenden eintrag (kommt oft vor - immer wieder die gleiche ip-adresse):
    62.178.130.127 - - [08/Mar/2005:23:15:16 +0000] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\
    .
    .
    .
    x90\x02\xb1\x02\xb1" 414 334

    ich vermute dass da jemand versucht einen pufferüberlauf auf meinem server zu erzeugen!?

    problem: habe gestern folgendes gemacht: iptables -A INPUT -s 62.178.130.127 -j DROP .... und trotzdem der gleiche "angriff"!? das mit iptables müsste doch normalerweise funktionieren?!?
     
  2. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Immer von derselben IP? IMHO bringt das Filtern von IPs bei FW-Einträgen nicht sonderlich viel und ist eher gefährlich (bei nicht-Heimmachinen) da du möglicherweise die Proxies grosser ISPs aussperrst ;).
     
  3. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    was mich aber interessiert wieso es nicht funktioniert?!? mit diesem iptables-befehl müsste der kernel doch jeden zugriff mit dieser ip-adresse verwerfen. oder funktioniert das nicht?!
     
  4. #4 HangLoose, 09.03.2005
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin,

    es kommt auch drauf an, wo die regel steht. wenn du in deinem script *weiter oben* ne regel hast, die alles auf port 80 durchlässt etc., dann greift die *DROP regel* nicht mehr.


    eventuell ist das ja das problem.


    Gruß HL
     
  5. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    den befehl habe ich auf der konsole eingetippt. da müsste der doch so lange gelten bis der computer rennt!?
     
  6. #6 monarch, 10.03.2005
    monarch

    monarch Schattenparker

    Dabei seit:
    13.02.2005
    Beiträge:
    222
    Zustimmungen:
    0
    Tut er. Aber mit -A setzt du ihn ans Ende aller Filterregeln. Und wenn das Paket vorher schon auf eine Regel passt greift das nicht mehr.

    Probier mal "-I 1 " statt "-A "
     
  7. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    meinst du -I ... also i wie ida: iptables -I INPUT -s 62.178.130.127 -j DROP damit die regel an den anfang gesetzt wird.
     
  8. RTDI

    RTDI Jungspund

    Dabei seit:
    02.06.2005
    Beiträge:
    13
    Zustimmungen:
    0
    Ort:
    Österreich
    ich vermute die fehlt die netzmaske bzw der bereich fuer die ip adresse

    sprich
    iptables -A INPUT -s 62.178.130.127/32 -j DROP

    bzw das eingehende interface angeben

    /edit:
    wobei ich persoenlich wuerde bei tcp sogar -j REJECT verwenden :devil:
     
  9. #9 Sir Auron, 03.06.2005
    Sir Auron

    Sir Auron Routinier

    Dabei seit:
    26.04.2004
    Beiträge:
    482
    Zustimmungen:
    0
    Dann ist der Server anfälliger für DOS Attacken.
     
  10. RTDI

    RTDI Jungspund

    Dabei seit:
    02.06.2005
    Beiträge:
    13
    Zustimmungen:
    0
    Ort:
    Österreich
    es ging ja nur um die eine ip adresse...

    ich hab ja nicht gesagt, dass diese aktion automatisiert erfolgen soll
     
  11. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    aus der iptables-manpage:
    REJECT
    This is used to send back an error packet in response to the matched packet: otherwise it is equivalent to DROP so it is a terminating TARGET, ending rule traversal.

    ich würde lieber drop verwenden da es keine rückmeldung gibt!

    sonst hat das so schon funktioniert!!
     
  12. #12 monarch, 03.06.2005
    monarch

    monarch Schattenparker

    Dabei seit:
    13.02.2005
    Beiträge:
    222
    Zustimmungen:
    0
    Ida, ja. Sorry, "-I INPUT 1" heißt das, nicht "-I 1 INPUT ".


    Du machst:
    Code:
    iptables -I INPUT 1 -s 62.178.130.127 -j DROP
    
    Und die Regel steht an Stelle 1 im Regelwerk.
     
  13. #13 Sir Auron, 03.06.2005
    Sir Auron

    Sir Auron Routinier

    Dabei seit:
    26.04.2004
    Beiträge:
    482
    Zustimmungen:
    0
    Trotzdem haben Server und Angreifer genug Bandbreite genügt ein Angreifer, um den Apachen flach zu legen.
     
  14. #14 YellowSPARC, 03.06.2005
    YellowSPARC

    YellowSPARC Doppel-As

    Dabei seit:
    12.12.2004
    Beiträge:
    113
    Zustimmungen:
    0
    Ort:
    Berlin
    Kleiner Tip am Rande (im Ernstfall läge das Kind schon im Brunnen): Probiere iptables-Anweisungen immer erst mit -j LOG aus.

    1. sieht man dann im Syslog erstmal was passierenwürde, bevor man sich versehentlich aus dem root-Server ausgesperrt hat (peinlich, teuer, schon den besten Leuten passiert)

    2. Kann man dann die "scharfe" DROP-Regel an das LOG anhängen, sonst werden nämlich die erfolgten DROPs nicht geloggt, und ermöglichen ggfs. Tools wie logcheck oder fwstate nicht zu reagieren

    Optimalerweise sollte man das -j LOG noch mit einem --burst Agument versehen, damit das log nicht geflutet wird und sich die Resistenz gegen DDOS verbessert.

    just my 2Cents
     
Thema:

angriffe auf web-server

Die Seite wird geladen...

angriffe auf web-server - Ähnliche Themen

  1. Neue Angriffe auf DH-Verschlüsselung

    Neue Angriffe auf DH-Verschlüsselung: Nicht der Algorithmus an sich, aber seine Implementation in zahlreichen Servern, Client-Anwendungen und Webbbrowsern gefährdet die Sicherheit und...
  2. Linux-Kernel soll vor Angriffen warnen

    Linux-Kernel soll vor Angriffen warnen: Eine neue Kernel-Funktion soll Warnungen ins Log schreiben, wenn der Kernel erkennt, dass versucht wird, eine bereits geschlossene...
  3. CentOS - Sicherheit vor Viren oder Hackangriffen

    CentOS - Sicherheit vor Viren oder Hackangriffen: Hallo Community, ich möchte mir in den nächsten Monaten einen Rootserver zulegen und mich in nächster Zeit intensiv in CentOS 6 einarbeiten....
  4. Bruteforce-Angriffe auf FTP mit PF verhindern

    Bruteforce-Angriffe auf FTP mit PF verhindern: Hallo Leute, ich bin gerade dabei, mir einen FTP-Server mit OpenBSD 5.0 aufzusetzen. Eigentlich läuft schon alles so weit, allerdings würde ich...
  5. Statistik über Hackerangriffe und Kosten gesucht

    Statistik über Hackerangriffe und Kosten gesucht: Tach! ich arbeite gerade an einer Präsentation über Firewalls und benötige dafür eine Statistik über Hackerangriffe und was diese für finanzielle...