shadowcast
Member
Hallo,
mich nerven seit geraumer Zeit Log-Einträge wie:
Die dürfte sicherlich jeder Admin kennen und sollten einen wohl auch nicht allzu beunruhigen. Dennoch mache ich mir im Moment Gedanken, wie ich dem einen Riegel vorschieben kann.
Auf meinen Server läuft bereits Ossec, welche die Scans auch erkennt und meldet. Ossec ist aber so eingestellt, dass er keine Sperren verhängt.
Dafür verwende ich die CSF Firewall, in welcher man durchaus auch eigene Regex eintragen kann.
Dies klappt so aber auch nur mit der eigentlichen access.log des Apache. Für jeden Benutzer ist ja dann noch ein eigenes, welches natürlich weder von Ossec noch von CSF angesehen wird.
Nun Frage ich mich, ob es dafür denn schon elegante Lösungen dafür gibt?
Evtl. genau diese 404 Fehler in eine allgemeine Datei zusammenfassen, welche dann von CSF überwacht wird und die Sperren verhängt werden?
Auch eine Möglichkeit wäre eine eigenes Script, welches per Cronjob z.b. alle 10 Minuten sämtliche Benutzerlogs durchsieht und die gefundenen Zeilen zusammenfasst? Fraglich ob das aus Ressourcensicht überhaupt rentabel ist?
Was denkt ihr?
LG
mich nerven seit geraumer Zeit Log-Einträge wie:
Code:
94.102.49.168 - - [25/Apr/2014:13:12:03 +0200] "HEAD /mysqlmanager/scripts/setup.php HTTP/1.1" 404 163 "-" "-"
85.214.49.51 - - [12/Apr/2014:14:22:47 +0200] "GET /phpMyAdmin-2/main.php HTTP/1.0" 404 500 "-" "-"
Die dürfte sicherlich jeder Admin kennen und sollten einen wohl auch nicht allzu beunruhigen. Dennoch mache ich mir im Moment Gedanken, wie ich dem einen Riegel vorschieben kann.
Auf meinen Server läuft bereits Ossec, welche die Scans auch erkennt und meldet. Ossec ist aber so eingestellt, dass er keine Sperren verhängt.
Dafür verwende ich die CSF Firewall, in welcher man durchaus auch eigene Regex eintragen kann.
Dies klappt so aber auch nur mit der eigentlichen access.log des Apache. Für jeden Benutzer ist ja dann noch ein eigenes, welches natürlich weder von Ossec noch von CSF angesehen wird.
Nun Frage ich mich, ob es dafür denn schon elegante Lösungen dafür gibt?
Evtl. genau diese 404 Fehler in eine allgemeine Datei zusammenfassen, welche dann von CSF überwacht wird und die Sperren verhängt werden?
Auch eine Möglichkeit wäre eine eigenes Script, welches per Cronjob z.b. alle 10 Minuten sämtliche Benutzerlogs durchsieht und die gefundenen Zeilen zusammenfasst? Fraglich ob das aus Ressourcensicht überhaupt rentabel ist?
Was denkt ihr?
LG