Brute Force und Error Document

Apache, Lighttpd, nginx, Cherokee
Anonymous

Brute Force und Error Document

Post by Anonymous »

Hallo erst mal..

Also ich beschäftige mich schon seit geraumer Zeit mit der Abwehr von Brute Force Attacken die über ".htaccess" auf dem Apache stattfinden.

Nun lese ich des Öfteren, dass man anstatt des Error Code 403 einen Success 200 ausgeben soll, um das Programm, dass die Attacke ausführt in die Irre zu führen.

Aber wie mache ich das nun.. denn ich kann ja nur die Error Dokumente konfigurieren und nicht die Success Ausgabe des Apaches..

Kann mir bitte einer auf die Sprünge helfen..

Danke Gruss Peter

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Brute Force und Error Document

Post by flo »

Probiere es aus - nimm als ErrorDocument eine php-Seite, laß die Zugriffe parsen und gib einen http-header aus, bzw. bei 200 müsste das dann gar nicht notwendig sein.

Wenn in der Header-Ausgabe der Seite dann kein "403" steht, hast Du gewonnen.

flo.

Anonymous

Re: Brute Force und Error Document

Post by Anonymous »

HMMM das geht nicht, eine PHP Seite kann ich nicht nehmen, da meine error docs auserhalb des roots liegen und dann PHP nicht ausführabr ist.

Ausserdem bringt der Apache dennoch immer einen Error 401...

Ausschnitt aus meiner httpd.conf
</Directory>
Alias "/error_docs" "/var/www/vhosts/grafiknet.net/error_docs"
ErrorDocument 400 /error_docs/bad_request.html
ErrorDocument 401 /error_docs/unauthorized.html
ErrorDocument 403 /error_docs/forbidden.html
ErrorDocument 404 /error_docs/not_found.html
ErrorDocument 500 /error_docs/internal_server_error.html

Roger Wilco
Administrator
Administrator
Posts: 5923
Joined: 2004-05-23 12:53

Re: Brute Force und Error Document

Post by Roger Wilco »

FUX-03 wrote:Nun lese ich des Öfteren, dass man anstatt des Error Code 403 einen Success 200 ausgeben soll, um das Programm, dass die Attacke ausführt in die Irre zu führen.
Seit wann werten diese Art von Programmen denn überhaupt einen Rückgabewert aus? IMHO ist die Aussage bzw. die Intention dahinter Blödsinn und führt dazu, dass legitime Anfragen/Clients irregeleitet werden. YMMV.
FUX-03 wrote:Aber wie mache ich das nun.. denn ich kann ja nur die Error Dokumente konfigurieren und nicht die Success Ausgabe des Apaches..
Ich würde mit mod_rewrite herangehen. In der RewriteCond kannst du prüfen, ob die Datei/das Verzeichnis existiert und dann ggf. auf eine andere Seite umleiten.