mod_evasive
-
globestern
- Posts: 69
- Joined: 2005-04-20 11:34
Re: mod_evasive
dumme frage, aber wie kann ich sehen, welche hosts gerade blacklisted sind?
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: mod_evasive
Schau in die Logdatei, deren Speicherort du mit DOSLogDir festgelegt hast (standardmäßig "/tmp").Globestern wrote:dumme frage, aber wie kann ich sehen, welche hosts gerade blacklisted sind?
Re: mod_evasive
Hi!
Ich hab mod_evasive20 jetzt auch auf meinem Server.
Hab zwar meine Mail-Adresse in die httpd.conf geschrieben (dort hab ich auch LoadModule drin), bekomm aber anscheinend die Mails nicht, dafür hab ich folgendes in der mail.log:
Wo muss ich das webmaster@gui umstellen? find das nirgends..
Ich hab mod_evasive20 jetzt auch auf meinem Server.
Hab zwar meine Mail-Adresse in die httpd.conf geschrieben (dort hab ich auch LoadModule drin), bekomm aber anscheinend die Mails nicht, dafür hab ich folgendes in der mail.log:
Code: Select all
Apr 19 02:44:55 server01 postfix/qmgr[26643]: 15884524E30: to=<webmaster@gui>, relay=none, delay=10242, delays=10211/30/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to gui[209.126.247.210]: Connection timed out)
-
globestern
- Posts: 69
- Joined: 2005-04-20 11:34
Re: mod_evasive
für die, welche die IPs nicht per apache blocken wollen.. hier die wesentlich performantere möglichkeit sie per iptables zu blocken im zusammenhang mit mod_evasive:
http://www.fbis.ch/index-de.php?page=13&frameset=4
nettes howto..
btw. hat jemand die ip's / hosts von den google bots? ich möchte diese in der mod_evasive conf whitelisten
edit: http://www.iplists.com/google.txt
http://www.fbis.ch/index-de.php?page=13&frameset=4
nettes howto..
btw. hat jemand die ip's / hosts von den google bots? ich möchte diese in der mod_evasive conf whitelisten
edit: http://www.iplists.com/google.txt
-
globestern
- Posts: 69
- Joined: 2005-04-20 11:34
Re: mod_evasive
kurze frage:
ich habe folgende mod_evasive config:
aber irgendwie geraten gewisse IE user immer grundlos auf die blacklist... kann es sein, dass wenn ein user einen error hervorruft, er auch auf der blacklist landet?
ich habe folgende mod_evasive config:
also eigentlich relativ "lockere"<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 10
DOSSiteCount 95
DOSPageInterval 3
DOSSiteInterval 3
DOSBlockingPeriod 10
DOSSystemCommand "/usr/sbin/modsec2iptables -i %s"
DOSLogDir "/var/lock/evasive"
DOSWhitelist 127.0.0.1
</IfModule>
aber irgendwie geraten gewisse IE user immer grundlos auf die blacklist... kann es sein, dass wenn ein user einen error hervorruft, er auch auf der blacklist landet?
Re: mod_evasive
Also eigentlich (imho) ist mod_evasive nicht mehr "realitäts-nah" (letzter update bestätigt meine Behauptung) und für "moderne" Projekte (vor allem Ajax intensive Anwendungen) nicht geeignet.
Wenn man Skripte hat, die eine hohe Auslastung haben, dann sollte man die Skripte schon von sich aus (denkt immer an den DAU, der vielleicht nicht einmal einen Angriff provozieren will) irgendwie limitieren. Ansonsten _muss_ der Server einfach mit einer hohen Anzahl von Anfragen (auch von einem User) klar kommen. Wenn ein User einfach nur gelangweilt 5x hintereinander auf Refresh klickt, will man sein "potenzieller Kunde" sicherlich nicht mit einer Warnung "du kommst hier nicht rein!!" abschrecken.
Will man DDoS Attacken abwehren, dann hilft sowieso nur iptables die _vor_ jediglicher Applikation arbeiten (theoretisch könnte man doch sonst auch mod_evasive flodden :roll: )
Wenn man Skripte hat, die eine hohe Auslastung haben, dann sollte man die Skripte schon von sich aus (denkt immer an den DAU, der vielleicht nicht einmal einen Angriff provozieren will) irgendwie limitieren. Ansonsten _muss_ der Server einfach mit einer hohen Anzahl von Anfragen (auch von einem User) klar kommen. Wenn ein User einfach nur gelangweilt 5x hintereinander auf Refresh klickt, will man sein "potenzieller Kunde" sicherlich nicht mit einer Warnung "du kommst hier nicht rein!!" abschrecken.
Will man DDoS Attacken abwehren, dann hilft sowieso nur iptables die _vor_ jediglicher Applikation arbeiten (theoretisch könnte man doch sonst auch mod_evasive flodden :roll: )
Re: mod_evasive
Wie schon geschrieben, auch bei mir hat evasive einige Probleme bei Seiten verursacht, auf denen viele Bilder vorhanden waren, die ja jedes Mal einen neuen HTTP-Request auslösen.
Insofern ist das Ding eigentlich hinfällig. Mit einem gut konfigurierten Apachen kann man's sich komplett sparen.
Insofern ist das Ding eigentlich hinfällig. Mit einem gut konfigurierten Apachen kann man's sich komplett sparen.