mod_evasive

[memo1003]

Hallo,
habe diesen mod gefunden und wollte mal fragen ob die jemand schon probiert hat und ob es was taugt.

Danke schonmal für antworten.


http://www.nuclearelephant.com/projects/mod_evasive/

[mr3dblond]

Hi,
darueber steht auch im aktuellen Linux Magazin ein Bericht.

Funktioniert auf meine Server ohne Probleme (Gentoo).

Ciao Alex...

[memo1003]

danke dir dann besorge ich mir schnell mal den neuen
Linux Magazin


edit: habe noch eine frage.
da steht mann soll apxs -i -a -c mod_evasive20.c eingeben.
das problem ist bei mir kommt -bash: apxs: command not found
ich habe gelesen das es bei suse versteckt sei im Apache-devel-Paket.

also ich habe mir das paket auf root hochgeladen und es entpackt ich habe jetzt die datei im /root/mod_evasive
ich mache cd mod_evasive und gelange an die dateien.

wie muss ich genau das hier angeben? apxs -i -a -c mod_evasive20.c
wenn ich es so eingebe kommt dieser error. -bash: apxs: command not found


linux suse 9.2 und apache 2.0.55 mit confixx premium von s4y

Nochmal edit: für die wie ich suchen und nicht finden

/usr/sbin/apxs2 -i -a -c mod_evasive20.c dann klapt es auch mit dem Nachbar :-D

[Joe User]

danke dir dann besorge ich mir schnell mal den neuen
Linux Magazin

Kaufe Dir lieber ein paar Bücher über *NIX-Grundlagen...

[ffl]

danke dir dann besorge ich mir schnell mal den neuen
Linux Magazin

Gibts auch im Netz: Linux-Magazin
Gebloggt ist es auch schon ;-)

Danke für den Hinweis, memo1003!

edit://
Denkt daran, diese Zeile im .c-Code an Eure Verhältnisse anzupassen. Auf meinem Debian gabs "/bin/mail" nicht:
#define MAILER "/usr/lib/sendmail -t %s"

[blnsnoopy26]

Hi,

Habs mal getestet und funzt ganz gut nur ne Blacklist legt der wohl nicht an. Aber eine Mail bekam ich zugesandt beim test mit der test.pl.

Und ne Logdatei legt der auch nicht an, obwohl die readme und config s befolgt wie da stand.

Das bekam ich via Mail als test:

Code: Select all

To: info@xx.de
Subject: HTTP BLACKLIST 127.0.0.1

mod_evasive HTTP Blacklisted 127.0.0.1

[alexander newald]

Wobei ich beim Betrachten des Quelltextes finde, dass man damit nicht nur den Webserver, sondern auch den Mailserver nett beschäftigen kann:

Solange den Webserver zuhauen, bis mod_evasive greift - Es wird eine Mail verschickt - In der Standardconfig 11 Sekunden warten - Apache wieder zuhauen - Es wird wieder eine Mail verschickt...

So kann man Nachts nicht nur den Webserver beschäftigen, sondern auch noch hunderte von Mails an den Admin schicken?

Ok, manchmal geht die Phantasie mit mir doch...

[ffl]

Du hast schon recht, aber normalerweise ist das nicht weiter schlimm denke ich.
Außerdem muss man die Mailerfunktion ja nicht nutzen. Ist sicherlich nur am Anfang sinnvoll, ich habe nämlich schon festgestellt, dass die defaultmäßig auf "2" stehende Variable "DOSPageCount" etwas sehr knapp ist, innerhalb einer Stunde schon 4 false Positives. Ich werde das jetzt mal schrittweise erhöhen.

Gruß

[creek]

so hab mir das auch mal installiert, funktioniert auch einwandfrei.
Aber meint ihr es könnte zu Problemen mit Suchmaschinenbots kommen?

[phillux]

Detection is performed by creating an internal dynamic hash table of IP Addresses and URIs, and denying any single IP address from any of the following:

# Requesting the same page more than a few times per second
# Making more than 50 concurrent requests on the same child per second
# Making any requests while temporarily blacklisted (on a blocking list)

Wohl eher nicht...

[evgueni]

ich habe bei mir soeben mod_evasive installiert und kann es jedem nur empfehlen. das fühlt sich so an, als wäre meinem server ne zusätzliche CPU gewachsen :lol:

[manuelw]

Hiho, was habt n ihr so für Erfahrungen mit den Werten für das Modul ?
Ich habe das auf einem Server getestet, wo ein Board mit recht vielen Usern getestet und dort bekomme ich sehr schnell eine Sperre.
Hab auch schon die Werte höher gesetzt, aber das hat nicht wirklich geholfen.

Habt ihr nen Tip zur Einstellung für eine stark besuche Page ?

danke Manu

[manuelw]

Hab nun die halbe Nacht versucht eine vernünftige Einstellung damit hin zu bekommen,
aber hab keine gefunden.

Ich betreibe auf meinem Server nur ein Board, das hat ~150 User online.
Mit der std. Einstellung kommt gleich mal fast jeder User in die Blacklist.
Hab die Werte dann so weit hoch gesetzt bis das nicht mehr der Fall ist,
aber dann werden auch potentielle Angreifer nicht mehr geblockt.
Ein Test mit dem Testscript blieb dann "unbestraft".

Vielleicht habt ihr noch nen Tip oder eine andere Lösung dafür.

manu

[evgueni]

hm ja, das ist aber komisch. denn eine sperre wird ja normalerweise nur dann erzeugt, wenn man die selbe url aufruft.

warum solltest du in deinem board immer wieder die selbe url aufrufen?

[manuelw]

Tja, das kann ich dir nicht sagen.

Die Logs vom Indianer sehen so aus

Code: Select all

212.114.* - - [16/Jul/2006:17:48:04 +0200] "GET /board/Themes/default/images/powered-mysql.gif HTTP/1.1" 304 - "http://www.xxx.de/board/index.php?board=45.0" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
212.114.* - - [16/Jul/2006:17:48:04 +0200] "GET /board/Themes/default/images/powered-php.gif HTTP/1.1" 304 - "http://www.xxx.de/board/index.php?board=45.0" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
212.114.* - - [16/Jul/2006:17:48:04 +0200] "GET /board/Themes/default/images/valid-xhtml10.gif HTTP/1.1" 304 - "http://www.xxx.de/board/index.php?board=45.0" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
212.114.* - - [16/Jul/2006:17:48:04 +0200] "GET /board/Themes/default/images/valid-css.gif HTTP/1.1" 304 - "http://www.xxx.de/board/index.php?board=45.0" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
212.114.* - - [16/Jul/2006:17:48:04 +0200] "GET /mkportal/templates/Forum/images/loghino.gif HTTP/1.1" 304 - "http://www.xxx.de/board/index.php?board=45.0" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"

evtl denk mod_evasive das immer die URL http://www.xxx.de/board/index.php?board=45.0 abgerufen wird ?!

[chrystalsky]

Ist ganz ok, aber bei Seiten mit Frames nur mit vorsicht zu geniessen.... Die Frames verursachen ja mehrere Requests und so kann es schnell passieren, wenn das Modul zu sensibel eignestellt ist, dass es einen Frame nicht ladet, weil es blockt.

Ich hatte das Modul mal mit iptables gekoppelt. Dann wurden die IP-Adressen auch gleich komplett geblockt. Da war es aber eine grosse DDoS-Attacke gegen die Seite (knapp 2000 IPAdressen die Request Flood gemacht haben auf http-Ebene)

*greetz*

[evgueni]

hm... na kann ich mir eigentlich nicht vorstellen.
schalte doch mal das loggen für evasive ein, dann kann man das viel besser nachvollziehen was da passiert

[danu]

Hmm, im Logfile ist nicht Auffälliges zu erkennen.

Um wirklich zu helfen zu können, solltest du uns noch einiges bekanntgeben wie: Btriebsystem, Version, Apache?, Board, etc ...

Wichtig: error_log, auch das Logfile und Konfiguration von Mod_evasive selber, was steht in den Emails, welche du von mod_evasive erhältst ???

Im Testprogramm test.pl sollte bei

Code: Select all

for(0..100) {
  my($response);
  my($SOCKET) = new IO::Socket::INET( Proto   => "tcp",
  PeerAddr=> "127.0.0.1:80");

mindestens for(0..1000) stehen. Bei 100 und mit Standarteinstellung hat mod_evasive noch nicht mal reagiert. Da habe ich mich schon gefragt, wie weit die Konfigurationseinstellung mit dem tatsächlichen Funktionieren übereinstimmt, oder wo und wie da irgendwelche Laufzeitverzögerungen Einfluss haben können.

Einen 1000-fachen Request innert Sekunden kann eigendlich jeder vernünftig konfigurierte Apache problemlos wegstecken.

Ich betreibe einen Rootserver mit 126 Domains.
Bei den seit einer Woche protokollierten 6 Dos Attacken handelte es sich meist um 3000 bis 4500 Requests. Die erste 50 kamen im error_log und wieviele es waren, stand im Logfile von mod_evasive.

Im Ganzen bin ich aber zufrieden mit diesem Modul. Was ich noch vermisse, ist eine eingehendere Dokumentation. Naja, spiele halt wieder mal Betatester.

[danu]

@Chrystalsky, Da muss es sich beim angegriffenen Server um eine sehr bekannte Homepage handel. Ist doch ein relativ grösserer Aufwand, die entsprechenden Bots auf 2000 Clients und/oder Servern zu installieren, es sei denn, ich hätte gerade eine Liste mit ein paar tausen gehackter Kisten zur Hand - oder irre ich mich ?

Bisher war ich der Meinung, dass von DDoS Attacken lediglich die in meiner Frage angedeuteten Fälle betroffen sind.

Meistens sind es doch einfache Dos Attacken von irgendwelchen Scripkidies auf irgendwelche Server, mit oder ohne relevanten Tatmotiven, von einzelnen Clients oder Servern ausgehend. Daher kann man hier von einer vielfach geringerer Request Flood ausgehen.

[manuelw]

Ich habe grad auch wieder so einen lustigen Kerl auf der Maschine gehabt:

Code: Select all

84.178.108.230 - - [17/Jul/2006:01:03:20 +0200] "GET /board/index.php?action=keepalive;1153086102636 HTTP/1.1" 200 26 "http://www.xxx.de/board/index.php?topic=53412" "Mozilla/5.0 (compatible; Konqueror/3.4; Linux) KHTML/3.4.0 (like Gecko)"
84.178.108.230 - - [17/Jul/2006:01:03:20 +0200] "GET /board/index.php?action=keepalive;1153086102637 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:20 +0200] "GET /board/index.php?action=keepalive;1153086102638 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:20 +0200] "GET /board/index.php?action=keepalive;1153086102639 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:20 +0200] "GET /board/index.php?action=keepalive;1153086102640 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:20 +0200] "GET /board/index.php?action=keepalive;1153086102641 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102642 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102643 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102644 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102645 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102646 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102647 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102648 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102649 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102650 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102651 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102652 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:21 +0200] "GET /board/index.php?action=keepalive;1153086102658 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102657 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102660 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102659 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102661 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102662 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102664 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102665 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102666 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102667 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102668 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102669 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:22 +0200] "GET /board/index.php?action=keepalive;1153086102670 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102676 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102677 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102679 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102680 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102681 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102682 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102683 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102684 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102685 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102686 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102687 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:23 +0200] "GET /board/index.php?action=keepalive;1153086102690 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:24 +0200] "GET /board/index.php?action=keepalive;1153086102706 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:24 +0200] "GET /board/index.php?action=keepalive;1153086102707 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:24 +0200] "GET /board/index.php?action=keepalive;1153086102708 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:24 +0200] "GET /board/index.php?action=keepalive;1153086102709 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:24 +0200] "GET /board/index.php?action=keepalive;1153086102710 HTTP/1.1" 200 26 
84.178.108.230 - - [17/Jul/2006:01:03:24 +0200] "GET /board/index.php?action=keepalive;1153086102711 HTTP/1.1" 200 26 

Das drück schon enorm auf die CPU Last und mod_evasive reagiert nicht.
Aber die User die die Seite normal abrufen werden öfter mal ausgesperrt.
Also für mich ist das nicht wirklich hilfreich.
Die Anzahl an gleichzeitigen Verbindungen habe ich zG schon mit iptables geblockt, ich hoffe ich finde noch ne andere Möglichkeit sowas auto. komplett zu blocken...

[manuelw]

Evtl. ist es auch so, das mod_evasive die mitgegebenen Optionen
gar nicht liest.

http://www.xxx.de/board/index.php?board=45.0
http://www.xxx.de/board/index.php?board=3.0
http://www.xxx.de/board/index.php?board=28.0

es sieht wahrscheinlich nur das die index.php aufgerufen wird

http://www.xxx.de/board/index.php

und das macht sich in nem Board dann doch blöd 8O

[evgueni]

nein, das ist nicht so.

jede option wird als andere url gewertet. ich hatte das bei mir getestet.

[manuelw]

hmm, nun dann versteh ich nicht, warum es bei mir die "guten" User mit unterschiedlichen URL sperrt, und die "bösen" die mehrmals die gleichen URL abrufen nicht ins Raster fallen ?!

[lord_pinhead]

@Chrystalsky, Da muss es sich beim angegriffenen Server um eine sehr bekannte Homepage handel. Ist doch ein relativ grösserer Aufwand, die entsprechenden Bots auf 2000 Clients und/oder Servern zu installieren, es sei denn, ich hätte gerade eine Liste mit ein paar tausen gehackter Kisten zur Hand - oder irre ich mich ?

Bisher war ich der Meinung, dass von DDoS Attacken lediglich die in meiner Frage angedeuteten Fälle betroffen sind.

Meistens sind es doch einfache Dos Attacken von irgendwelchen Scripkidies auf irgendwelche Server, mit oder ohne relevanten Tatmotiven, von einzelnen Clients oder Servern ausgehend. Daher kann man hier von einer vielfach geringerer Request Flood ausgehen.

Wie man das auch mit einer Handvoll gecrackter Server machen kann zeigt die DNS Reflection Attack. Vorher einfach ein paar Nameserver aus einem bekannten Hosternetz raussuchen und los geht, überfüllen die den Server mit Nameserverantworten. Wer noch auf den Apachen losgeht will eher den Traffic ausreizen als die Kiste in die Knie zu zwingen, denn da reicht es aus ein paar Tausend Mails rauszuschieben und dann liegen die meisten Kisten auch am Boden. Das habe ich sogar einmal miterlebt als einer im Forum ein Newsletter abgeschickt hat, waren viel viel viele Leute dabei die eine falsche Mailadresse angegeben haben. Naja, 8000 Mails haben den Server ausgeknocked, danach lief nichts mehr rund.

[evgueni]

hmm, nun dann versteh ich nicht, warum es bei mir die "guten" User mit unterschiedlichen URL sperrt, und die "bösen" die mehrmals die gleichen URL abrufen nicht ins Raster fallen ?!

also dein böser hat ja urls wie "GET /board/index.php?action=keepalive;1153086102662" aufgerufen... und dann immer eine andere nummer hinten dran. das sind aus sicht des modevasive unterschiedliche urls - die werden dann auch nicht geblockt.

was eigentlich nur noch sein kann, ist dass deine "guten" user alle die gleiche ip haben (proxy?) was aber wohl eher nicht der fall sein wird.
was hast du denn überhaupt für einstellungen für modevasive im einsatz?