. .

Tag: apache

0

Perl: w00tw00t-Einträge im Apache-Log automatisch für iptables-Firewallregeln verwenden

Perl: w00tw00t-Einträge im Apache-Log automatisch für iptables-Firewallregeln verwenden

Im Apache-Errorlog finden sich bei mir immer wieder einige Einträge dieser Art: „[Wed Apr 07 23:17:01 2010] [error] [client 88.191.61.110] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:“. Diese Einträge entstehen wohl, wenn Apache von einem Tool namens `dfind‘ gescannt wird. `dfind‘ sucht nach Schwachstellen in der verwendeten Server-Software. Da solche Log-Einträge ziemlich überhand nahmen, schrieb ich ein kleines Perl-Script, dass ähnlich wie `tail‘ das Apache-Logfile beobachtet und bei einem Eintrag nach entsprechendem Muster („.*request without hostname.*w00tw00t.*“) iptables anweist, die Client-IP zu sperren – falls diese IP ohnehin nicht schon gesperrt ist. Das Script setzt sich selbst

0

WordPress: Brute-Force-Attacken: Admin-Interface per ModRewrite-Engine verbieten

WordPress: Brute-Force-Attacken: Admin-Interface per ModRewrite-Engine verbieten

Laut diesem heise online Artikel fanden seit einigen Monaten vermehrt Brute-Force-Attacken auf WordPress-Installationen statt. Anscheinend um dadurch einen etwas größer angelegten Distributed Denial of Service-Angriff (DDoS) durchführen zu können. Da ich vor einiger Zeit leider auch feststellen musste, dass Brute-Force-Attacken auf die eigene WordPress-Installation durchgeführt wurden, entschloss ich mich, das Admin-Interface per ModRewrite-Engine zu verbieten. Im Wurzelverzeichnis der WordPress-Installation befindet sich bereits unter Umständen eine .htaccess-Datei. Wenn nicht, diese einfach anlegen. (Selbstverständlich kann auch der <VirtualHost>-Bereich in der Apache-Config direkt angepasst werden – usw.) Um den Zugriff auf das Admin-Interface zu verweigern, reichen am Anfang der .htaccess-Datei folgende Zeilen zur

, ,
0

Erstellung und Installation eines SSL-Zertifikats für Apache

Erstellung und Installation eines SSL-Zertifikats für Apache

Das verwendete System ist ein Dual-Opteron mit dem Kernel 2.6.19-ck2-r3. Ich beschreibe hier kurz, wie man selbst ein Zertifikat für einen Webserver erstellt, um SSL-Verbindungen erlauben zu können. In Benutzung ist Apache Version 2.0.59. Zuerst benötigt Ihr ein RSA Zertifikat: openssl genrsa -out /etc/apache2/ssl/sysalyser.de/server.key 1024 Da ich mehrere virtuelle Server unter Apache laufen lasse, habe ich zuerst den Ordner /etc/apache2/ssl/sysalyser.de/ erstellt. Dies bleibt Euch natürlich frei, wohin Ihr die Zertifikate speichern wollt. Als nächstes braucht Ihr eine Art Zertifikatsantrag, um dies einer Zertifizierungsstelle übermitteln zu können (ganz theoretisch): openssl req -new -key /etc/apache2/ssl/sysalyser.de/server.key -out /etc/apache2/ssl/sysalyser.de/server.csr You are about to be