Fedora-Linux.nl Forumindex Fedora-Linux.nl
Het forum van Fedora-Linux.nl.
Deze site wordt gehost door Exonet Internet Services
 
 FAQFAQ   ZoekenZoeken   GebruikerslijstGebruikerslijst   GebruikersgroepenGebruikersgroepen   RegistrerenRegistreren 
 ProfielProfiel   Log in om je privéberichten te bekijkenLog in om je privéberichten te bekijken   InloggenInloggen 

ip blok script apache

 
Nieuw onderwerp plaatsen   Reageren    Fedora-Linux.nl Forumindex -> Programmeren en scripten
Vorige onderwerp :: Volgende onderwerp  
Auteur Bericht
redhatjasper



Geregistreerd op: 27 Aug 2005
Berichten: 85

BerichtGeplaatst: Ma Jan 01, 2007 12:44 am    Onderwerp: ip blok script apache Reageren met citaat

ik Probeer een scrip te maken dat uit het apache error log ip adresen haald die bv 10x voorkomen en deze in een bestand weg schrijven.

Wat ik nu al doe is als een persoon mijn error pagina krijgt woord zń ip addres in een htaccess bestand weggescheven deny from ip, werkt prima

Alleen nu word bij de eerste hit het ip al geblokt ik zou hier graag een counter tussen hebben
nu heb ik het idee om dit via php en mń error paginaś te doen maar ik heb nul verstand van php .
En met scripten ook niet veel maar meer als php.

alle hulp is welkom ik wil mensen bloken die naar directorys of codes proberen te zoeken (hackers)

thanks jasper.
Terug naar boven
Profiel bekijken Stuur privébericht
Nickname55



Geregistreerd op: 02 Mei 2005
Berichten: 666

BerichtGeplaatst: Ma Jan 01, 2007 1:12 am    Onderwerp: Re: ip blok script apache Reageren met citaat

redhatjasper schreef:
ik Probeer een scrip te maken dat uit het apache error log ip adresen haald die bv 10x voorkomen en deze in een bestand weg schrijven.

Wat ik nu al doe is als een persoon mijn error pagina krijgt woord zń ip addres in een htaccess bestand weggescheven deny from ip, werkt prima

Alleen nu word bij de eerste hit het ip al geblokt ik zou hier graag een counter tussen hebben
nu heb ik het idee om dit via php en mń error paginaś te doen maar ik heb nul verstand van php .
En met scripten ook niet veel maar meer als php.

alle hulp is welkom ik wil mensen bloken die naar directorys of codes proberen te zoeken (hackers)

thanks jasper.
Ik denk dat je verkeerd bezig bent. Als jou server gewoon fatsoenlijk geconfigureert is, hoef jij helemaal niet bang te zijn voor dergelijke mensen.
Terug naar boven
Profiel bekijken Stuur privébericht
redhatjasper



Geregistreerd op: 27 Aug 2005
Berichten: 85

BerichtGeplaatst: Ma Jan 01, 2007 1:33 pm    Onderwerp: Reageren met citaat

Daar heb je helemaal gelijk in maar ik heb de theorie dat er altijd iemand

slimmer is dan ik en ik maak het graag zo moeilijk mogelijk.

greets jasper
Terug naar boven
Profiel bekijken Stuur privébericht
zoekend



Geregistreerd op: 17 Jan 2006
Berichten: 68
Woonplaats: NL

BerichtGeplaatst: Za Mrt 17, 2007 8:17 pm    Onderwerp: Reageren met citaat

redhatjasper schreef:
Daar heb je helemaal gelijk in maar ik heb de theorie dat er altijd iemand slimmer is dan ik en ik maak het graag zo moeilijk mogelijk.


Zit iets in.
Ook al is het misschien niet nodig het voelt hierna zekerder..
Zo`n script zou tevens ook handig zijn voor bots die ik elke nacht ook weer zie langs komen in /var/log/secure
Ben geïnteresseerd naar een evt. reacties alsnog Wink
Terug naar boven
Profiel bekijken Stuur privébericht
wge



Geregistreerd op: 17 Nov 2005
Berichten: 320
Woonplaats: Roeselare

BerichtGeplaatst: Wo Mrt 21, 2007 12:14 pm    Onderwerp: Re: ip blok script apache Reageren met citaat

redhatjasper schreef:

Wat ik nu al doe is als een persoon mijn error pagina krijgt woord zń ip addres in een htaccess bestand weggescheven deny from ip, werkt prima.


doe je dit manueel of zit hier al een script achter ?
indien automatisch, schrijf eerst het ipadres weg in een db of een tekstfile en ondervraag dan die db of tekstfile mbv een systeemscript (cron).
indien aantal errorpages > 10 -> pas dan maar de htaccess file aan.
Terug naar boven
Profiel bekijken Stuur privébericht
Nickname55



Geregistreerd op: 02 Mei 2005
Berichten: 666

BerichtGeplaatst: Do Mrt 22, 2007 1:43 pm    Onderwerp: Re: ip blok script apache Reageren met citaat

wge schreef:
redhatjasper schreef:

Wat ik nu al doe is als een persoon mijn error pagina krijgt woord zń ip addres in een htaccess bestand weggescheven deny from ip, werkt prima.


doe je dit manueel of zit hier al een script achter ?
indien automatisch, schrijf eerst het ipadres weg in een db of een tekstfile en ondervraag dan die db of tekstfile mbv een systeemscript (cron).
indien aantal errorpages > 10 -> pas dan maar de htaccess file aan.
Hmmmm... nja, maar stel nu door eigen stommiteit staat er ergens één of meerdere dode link(s) op je site, dan kunnen onschuldige bezoekers dus in de ban-list terecht komen?
Terug naar boven
Profiel bekijken Stuur privébericht
martijnl



Geregistreerd op: 15 Nov 2006
Berichten: 11
Woonplaats: Vleuten

BerichtGeplaatst: Do Apr 19, 2007 7:05 am    Onderwerp: Reageren met citaat

Ik neem aan dat je in Perl bezig bent ..

Hier een stukje code van Dragos Constantinescu.
Het scanned je logfiles voor SSH spammers.
Maar je kan het zo verherverbouwen zodat het je Apache logfiles doorwerkt.
Zodra een IP meer dan 3x voor komt wordt deze doormiddel van iptables geblocked.
Ook dit kan je aanpassen dat het in een .htaccess file wordt weggeschreven.

De code is bedoeld om je op weg te helpen... Cool

Success

Code:

#!/usr/bin/perl -w
use Sys::Syslog;

$max=10; # maximum permited atempts

$watchfile=         '/var/log/messages';
$iptables=          '/sbin/iptables';
$iptables_save=     '/sbin/iptables-save';
$iptables_restore=  '/sbin/iptables-restore';
$cfgfile=           '/etc/sysconfig/iptables';

open(LFILE, "<$watchfile");

%tries=();      # number of attempts per ip
%blocked=();    # already blocked ip's

# restore iptables configuration
`$iptables_restore < $cfgfile`;

# load currently blocked ips from iptable list
open(IPTPIPE, "$iptables -L -v -n|");
$blockChain=0;
while (<IPTPIPE>){
  $blockChain=1 if (/^Chain block \(\d+ references\)$/);
  next unless $blockChain;
  last if (/^$/ );
  $blocked{$1}=1 if (/(\d+\.\d+\.\d+\.\d+)/);
}
close IPTPIPE;

$blk_ips=join(", ",keys(%blocked));
syslog('warning',"sshwatch.pl started. currently blocked ip's are: $blk_ips");

# watch the messages file
while (1) {
  for ($curpos = tell(LFILE); $_ = <LFILE>; $curpos = tell(LFILE)) {
    if (/sshd\[\d+\]: Failed password for .+ from \D+(\d+\.\d+\.\d+\.\d+)/) {
      $ip=$1;
      next if defined($blocked{$ip});
      $tries{$ip}+=1;
      if ($tries{$ip} eq $max){
         `$iptables -I block -s $ip -j DROP ; $iptables_save > $cfgfile`;
         $blocked{$ip}=1;
         syslog('warning', "IP $ip has been blocked !");
      }
    }
  }
  sleep 1;
  seek(LFILE, $curpos, 0);
}

=head1 NAME

sshwatch.pl

=head1 Author

Dragos Constantinescu, dragos@venus.nipne.ro

=head1 DESCRIPTION

This script watches the system log file for dictionary sshd attacks and
automaticaly block the attacker ip after specified number of attempts
before first use:
 1. create a new iptables chain "block" : iptables -N block
 2. insert a rule in the input chain to send all input packages to "block":
    iptables -I INPUT -i eth0 -j block
 3. save your current iptables configuration: iptables-save > /etc/sysconfig/iptables

=head1 README

This script watches the system log file for dictionary sshd attacks and
automaticaly block the attacker ip after specified number of attempts

=head1 PREREQUISITES

You need Sys::Syslog and iptables

=head1 COPYRIGHT

Copyright 2005, Dragos Constantinescu.  All rights reserved.  This program is
free software.  It may be used, redistributed, and/or modified under
the same terms as Perl itself.

=pod SCRIPT CATEGORIES

Networking
UNIX/System_administration

=cut

Terug naar boven
Profiel bekijken Stuur privébericht
Berichten van afgelopen:   
Nieuw onderwerp plaatsen   Reageren    Fedora-Linux.nl Forumindex -> Programmeren en scripten Tijden zijn in GMT + 1 uur
Pagina 1 van 1

 
Ga naar:  
Je mag geen nieuwe onderwerpen plaatsen in dit subforum
Je mag geen reacties plaatsen in dit subforum
Je mag je berichten niet bewerken in dit subforum
Je mag je berichten niet verwijderen in dit subforum
Je mag niet stemmen in polls in dit subforum


Powered by phpBB © 2001, 2005 phpBB Group
Vertaling door Lennart Goosens.