ich hab mir mal mein http Errorlog angeschaut und mehrere Script-Angriffe auf mein Visas festgestellt.
nun ich bin keiner der sowas gerne zulässt
nach enigem hin und her bin hab ich mich für entschieden den tcpwrapper zu verwenden und alle die ich nicht mag in die /etc/hosts.deny zu verbannen.
Für die "Angriffe" hab lese ich der einachheit halber die /var/log/apache/error.log aus und zähle einfach mal wer da alles versucht auf nicht vorhandene Seiten zuzugreifen.
Wenn der Schwellenwert von 10 Überschritten wird, wird die IP in die hosts.deny hinzugefügt,
Herausgekommen ist:
da ich nicht die *.gz dateien nach dem logrotate einlese fliegen die einträge acuh nach und nach wieder raus.
allerdings sind es immernoch mehr als genug ips die in der hosts.deny stehen:
es ist nicht die ultimative Lösung aber funktioniert ganz gut
Hab mich auch schon selber rausgeworfen
Das Script wird dann alle 15 Minuten per cron ausgeführt.
Ja nach bedarf kann das Script natürlich erwitert werden, um z.B. ssh-Script Attaken zu filtern und zu Blocken.
nun ich bin keiner der sowas gerne zulässt
nach enigem hin und her bin hab ich mich für entschieden den tcpwrapper zu verwenden und alle die ich nicht mag in die /etc/hosts.deny zu verbannen.
Für die "Angriffe" hab lese ich der einachheit halber die /var/log/apache/error.log aus und zähle einfach mal wer da alles versucht auf nicht vorhandene Seiten zuzugreifen.
Wenn der Schwellenwert von 10 Überschritten wird, wird die IP in die hosts.deny hinzugefügt,
Herausgekommen ist:
Code:
# !/bin/bash
#
# Script von GMastaP für den http://www.linux-club.de
#
#Festlagen der Variabelen
APA_EIN=/var/log/apache2/error_log
HOS_AIN=/etc/hosts.deny
DATE=`date`
# anlegen der Kopfzeile der
echo -e "# /etc/hosts.deny \n# See 'man tcpd' and 'man 5 hosts_access' as well as /etc/hosts.allow \n# for a detailed description.\n" > $HOS_AIN
echo -e "rsh : ALL \nhttp-rman : ALL EXCEPT LOCAL\n" >> $HOS_AIN
# Urzeit der letzten aktualisierung
echo -e "#"$DATE"\n" >> $HOS_AIN
# herausfiltern der Einträge und eintag in die hosts.deny
cat $APA_EIN | awk '{print $8}' | sed 's/]//' | sort | uniq -c | sort -n | awk '{if ( $1 > 10){print $2}}' | grep "^[0-9]" | awk '{printf "ALL : %s\n",$1}' | sort -d >> $HOS_AINda ich nicht die *.gz dateien nach dem logrotate einlese fliegen die einträge acuh nach und nach wieder raus.
allerdings sind es immernoch mehr als genug ips die in der hosts.deny stehen:
es ist nicht die ultimative Lösung aber funktioniert ganz gut
Hab mich auch schon selber rausgeworfen
Das Script wird dann alle 15 Minuten per cron ausgeführt.
Ja nach bedarf kann das Script natürlich erwitert werden, um z.B. ssh-Script Attaken zu filtern und zu Blocken.