code red [was hosts.deny]

Milan Kerslager milan.kerslager na pslib.cz
Pondělí Květen 26 07:39:55 CEST 2003 

On Sun, May 25, 2003 at 07:01:03PM +0000, Frank J. Tomes wrote:
> jak bránit apache proti code red
> http://www.underground.cz/677

Krome toho, ze pochybuju, ze Code Red nasleduje redirecty, bych tam dal
misto RewriteRule (mod_rewrite) direktivu RedirectMatch (mod_alias) nebo
jeste lepe Redirect (mod_alias), protoze automaticky bere vse, co zacina
danym retezcem (a nezavleka do toho regularni vyrazy se zastupnymi
znaky).

On Sun, May 25, 2003 at 08:20:41PM +0200, Pavel Kysilka wrote:
> >
> > iptables -I INPUT 1 -p tcp -s IP1.IP1.IP1.IP1 --dport 80 -j REJECT \
> >          --reject-with tcp-reset
> >
> obcas na svem serveru pozoruji take, ze se tam nekdo "dobyva".  na
> jednu stranu me to nechava v klidu, ale na druhou premyslim o nejakem
> automatu, jakoze stavet automaty je jedna z programatorskych zabav,
> ktery by dane utocniky blokoval.  a zde mam nejake otazky:
> 1) jak to potom zatezuje stroj ? mam na mysli na urovni iptables. zde
> bych bral v uvahu, ze stroj nemusi byt nejsilnejsi a take, ze muze byt
> castecne vytizeny. casem to muze naskakat na mnoho pravidel. zde mam
> na mysli treba i pokusy o openrelay ci testovani ftp.

Na P100 provozuji nekolik desitek pravidel s linkou 10Mbps (pretizena
linka) a nepozoruji, ze by to melo nejaky vliv. Zda se ovsem, ze nektere
mohutne scany mohou snadno zpusobit DoS, pokud pouzivate stavovy
firewall pomoci ip_conntrack).

Zkuste se podivat na portsentry (automaticke vkladani pravidel na
zaklade detekovanych portscanu), snort (detekce portscanu a pristupu
ruznych viru apod) a psd z patch-o-matic (Port Scan Detection, viz
http://netfilter.samba.org).

> 2) jak casto se utoky opakuji z jednoho ipecka ?
> 3) castecne se daji tyto dotazy rozvinout i na web a ze vam nekdo
> navstevuje stranky pomoci skriptu a potom vase informace zverejnuje
> nekde jinde. coz po urcitem casu vyvoje projektu slusne reseno
> "nepotesi".  zde by me zajimaly nejake prakticke zkusenosti ve
> spojitosti s temito dotazy.

To se da resit uz na urovni Apache pomoci kontroly referera (tj. mista,
odkud se na tu stranku prislo), nicmene konecne reseni neexistuje.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/

Další informace o konferenci Linux