code red [was hosts.deny]
Milan Kerslager
milan.kerslager na pslib.cz
Pondělí Květen 26 07:39:55 CEST 2003
On Sun, May 25, 2003 at 07:01:03PM +0000, Frank J. Tomes wrote:
> jak bránit apache proti code red
> http://www.underground.cz/677
Krome toho, ze pochybuju, ze Code Red nasleduje redirecty, bych tam dal
misto RewriteRule (mod_rewrite) direktivu RedirectMatch (mod_alias) nebo
jeste lepe Redirect (mod_alias), protoze automaticky bere vse, co zacina
danym retezcem (a nezavleka do toho regularni vyrazy se zastupnymi
znaky).
On Sun, May 25, 2003 at 08:20:41PM +0200, Pavel Kysilka wrote:
> >
> > iptables -I INPUT 1 -p tcp -s IP1.IP1.IP1.IP1 --dport 80 -j REJECT \
> > --reject-with tcp-reset
> >
> obcas na svem serveru pozoruji take, ze se tam nekdo "dobyva". na
> jednu stranu me to nechava v klidu, ale na druhou premyslim o nejakem
> automatu, jakoze stavet automaty je jedna z programatorskych zabav,
> ktery by dane utocniky blokoval. a zde mam nejake otazky:
> 1) jak to potom zatezuje stroj ? mam na mysli na urovni iptables. zde
> bych bral v uvahu, ze stroj nemusi byt nejsilnejsi a take, ze muze byt
> castecne vytizeny. casem to muze naskakat na mnoho pravidel. zde mam
> na mysli treba i pokusy o openrelay ci testovani ftp.
Na P100 provozuji nekolik desitek pravidel s linkou 10Mbps (pretizena
linka) a nepozoruji, ze by to melo nejaky vliv. Zda se ovsem, ze nektere
mohutne scany mohou snadno zpusobit DoS, pokud pouzivate stavovy
firewall pomoci ip_conntrack).
Zkuste se podivat na portsentry (automaticke vkladani pravidel na
zaklade detekovanych portscanu), snort (detekce portscanu a pristupu
ruznych viru apod) a psd z patch-o-matic (Port Scan Detection, viz
http://netfilter.samba.org).
> 2) jak casto se utoky opakuji z jednoho ipecka ?
> 3) castecne se daji tyto dotazy rozvinout i na web a ze vam nekdo
> navstevuje stranky pomoci skriptu a potom vase informace zverejnuje
> nekde jinde. coz po urcitem casu vyvoje projektu slusne reseno
> "nepotesi". zde by me zajimaly nejake prakticke zkusenosti ve
> spojitosti s temito dotazy.
To se da resit uz na urovni Apache pomoci kontroly referera (tj. mista,
odkud se na tu stranku prislo), nicmene konecne reseni neexistuje.
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux