Page 2 of 2
Re: mod_evasive
Posted: 2007-02-22 14:44
by globestern
dumme frage, aber wie kann ich sehen, welche hosts gerade blacklisted sind?
Re: mod_evasive
Posted: 2007-02-22 18:39
by Roger Wilco
Globestern wrote:dumme frage, aber wie kann ich sehen, welche hosts gerade blacklisted sind?
Schau in die Logdatei, deren Speicherort du mit DOSLogDir festgelegt hast (standardmäßig "/tmp").
Re: mod_evasive
Posted: 2007-04-19 03:05
by schnere
Hi!
Ich hab mod_evasive20 jetzt auch auf meinem Server.
Hab zwar meine Mail-Adresse in die httpd.conf geschrieben (dort hab ich auch LoadModule drin), bekomm aber anscheinend die Mails nicht, dafür hab ich folgendes in der mail.log:
Code: Select all
Apr 19 02:44:55 server01 postfix/qmgr[26643]: 15884524E30: to=<webmaster@gui>, relay=none, delay=10242, delays=10211/30/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to gui[209.126.247.210]: Connection timed out)
Wo muss ich das webmaster@gui umstellen? find das nirgends..
Re: mod_evasive
Posted: 2007-05-07 08:17
by globestern
für die, welche die IPs nicht per apache blocken wollen.. hier die wesentlich performantere möglichkeit sie per iptables zu blocken im zusammenhang mit mod_evasive:
http://www.fbis.ch/index-de.php?page=13&frameset=4
nettes howto..
btw. hat jemand die ip's / hosts von den google bots? ich möchte diese in der mod_evasive conf whitelisten
edit:
http://www.iplists.com/google.txt
Re: mod_evasive
Posted: 2007-05-09 08:37
by globestern
kurze frage:
ich habe folgende mod_evasive config:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 10
DOSSiteCount 95
DOSPageInterval 3
DOSSiteInterval 3
DOSBlockingPeriod 10
DOSSystemCommand "/usr/sbin/modsec2iptables -i %s"
DOSLogDir "/var/lock/evasive"
DOSWhitelist 127.0.0.1
</IfModule>
also eigentlich relativ "lockere"
aber irgendwie geraten gewisse IE user immer grundlos auf die blacklist... kann es sein, dass wenn ein user einen error hervorruft, er auch auf der blacklist landet?
Re: mod_evasive
Posted: 2007-05-12 19:07
by guwapo
Also eigentlich (imho) ist mod_evasive nicht mehr "realitäts-nah" (letzter update bestätigt meine Behauptung) und für "moderne" Projekte (vor allem Ajax intensive Anwendungen) nicht geeignet.
Wenn man Skripte hat, die eine hohe Auslastung haben, dann sollte man die Skripte schon von sich aus (denkt immer an den DAU, der vielleicht nicht einmal einen Angriff provozieren will) irgendwie limitieren. Ansonsten _muss_ der Server einfach mit einer hohen Anzahl von Anfragen (auch von einem User) klar kommen. Wenn ein User einfach nur gelangweilt 5x hintereinander auf Refresh klickt, will man sein "potenzieller Kunde" sicherlich nicht mit einer Warnung "du kommst hier nicht rein!!" abschrecken.
Will man DDoS Attacken abwehren, dann hilft sowieso nur iptables die _vor_ jediglicher Applikation arbeiten (theoretisch könnte man doch sonst auch mod_evasive flodden :roll: )
Re: mod_evasive
Posted: 2007-05-13 13:24
by EdRoxter
Wie schon geschrieben, auch bei mir hat evasive einige Probleme bei Seiten verursacht, auf denen viele Bilder vorhanden waren, die ja jedes Mal einen neuen HTTP-Request auslösen.
Insofern ist das Ding eigentlich hinfällig. Mit einem gut konfigurierten Apachen kann man's sich komplett sparen.