Comments on: DDoS-Abwehr mit Apaches mod_security2

By: MartN

MartN — Wed, 30 Dec 2009 14:59:22 +0000

Wurde mir von OVH.de empfohlen und es es funktioniert super.
Zwar ist der Seitenaufbau nicht so schnell wie sonst, aber das kann man bei einem randalierenden Botnetz auch nicht erwarten :)
Immerhin ist das surfen möglich!

By: Arno

Arno — Tue, 22 Dec 2009 12:51:10 +0000

Wenn du wget benutzt, musst du die Datei noch umbenennen,z.B

mv index.html wrapper.c

By: Greg Da Mac

Greg Da Mac — Mon, 14 Dec 2009 20:15:36 +0000

Bei mir kommt beim get des Wrappers das:
http://daemonkeeper.net/download/2/
=> `index.html’
Entsprechend kann danach per “gcc -o wrapper wrapper.c” der Wrapper nicht gefunden werden. :(
Was tun?

By: mex

mex — Sun, 13 Dec 2009 10:45:10 +0000

moinsen,

hast du das ganze mal gegen slowloris getestet?

mex

By: Arno

Arno — Tue, 02 Jun 2009 20:23:26 +0000

Danke ist behoben (war und ist in der Fußnote allerdings schon verlinkt).

By: Spacerat

Spacerat — Tue, 02 Jun 2009 10:08:51 +0000

Der link zu wrapper.c ist tot …

By: Arno

Arno — Wed, 18 Mar 2009 19:02:14 +0000

Das deutet darauf hin, dass es ein Problem damit gibt, eine IP zu sperren. Lies im Syslog nach, dort sollten weitere Details und Fehlermeldungen stehen.

By: Max

Max — Wed, 18 Mar 2009 09:41:37 +0000

Hab das Problem gefunden:

Exec: Execution failed while reading output: /etc/apache2/wrapper (End of file found)

und dann:

Failed to execute: /etc/apache2/wrapper

die recht für den wrapper sind gesetzt wie in deinem Beispiel:
chown root:root /etc/apache2/wrapper && chmod 7555 /etc/apache2/wrapper

was tun?

By: Max

Max — Wed, 18 Mar 2009 01:24:02 +0000

Erstmal vielen Dank für die ausführliche Anleitung! Bei mir klappt das alles ganz gut, bis auf das weiterleiten der “Bad IPs” an die iptables-Kette… sowohl in den Logfiles als auch unter /etc/apache2/wrapper -s werden mir die IPs die es zu droppen gilt angezeigt, alleine die iptables machen keinen mucks. Hab das alles nach deiner Anleitung gemacht, also Kette “posmatch” und den wrapper unverändert gelassen. Haste evtl. ‘nen Tip für mich wo’s haken könnte?

By: Arno

Arno — Mon, 23 Feb 2009 23:26:46 +0000

Sicher, zum Beispiel so:

SecRule REMOTE_ADDR "^133\.3\.3\.7$" phase:1,deny,status:403

in einem entsprechenden Abschnitt.

Einfacher ist das aber vermutlich mit mod_rewrite in einer im Verzeichnis abgelegten .htaccess-Datei:

RewriteCond %{REMOTE_ADDR} ^1.3.3.7$ [NC]
RewriteRule . - [F]