Dies ist das Archiv zu der Kategorie 'Sicherheit'.

Google gräbt weiter, diesmal sind die privaten IP’s dran…

Abgelegt unter Allgemein, Kurioses, Sicherheit, Vermutungen am 02.11.2011

Hm, heute poppt mein Firewall-Script schon wieder auf, Scanversuch von aussen.
Ist ja nix wirklich Neues…

Warum die Firewall aber gemotzt hat:
es war der Port 443
Da lauscht bei mir ein besonderer Apache, der nur für besondere Gäste aktiv ist.

Die besagte IP:
74.125.39.139
war auch gestern schon paar mal da.

Macht mal einen Lookup, wer das ist.
Komisch, komisch…
Da ich per Dialup verbunden bin, also täglich eine neue IP kriege, ist es SEHR unwahrscheinlich, daß da was verlinkt ist.
Dennoch, Apache-Log geguckt, vielleicht klebt ja ein Referer dran oder so.
Nada.
Dann das Netz bissel nach der aktuellen eigenen IP durchwühlt.
Nada.

Fängt Google jetzt an, selbständig IP’s abzugrasen…?

Any clues?


Wie man einem Dos / DDoS mit slowloris Herr wird

Abgelegt unter Allgemein, EDV, IT, Nightshift, Sicherheit am 28.10.2011

So, nach ein paar Stunden Studierens, woher denn der Wind weht, wußte ich endlich, welcher Domain auf dem Server der DoS galt.
(bei Multi-IP-Umgebung kann das schon mal ein Weilchen dauern…)

So, als Allererstes:
wer auf seiner Linux-Büchse kein iptables hat -> sorry, selber schuld

Aber jetzt mal der Reihe nach:
wir suchen uns auf der Konsole mal die IP-Adressen raus, die verdächtig nach slowloris stinken

netstat -ant | grep TIME_WAIT | awk '{ print $5}' | cut -d ":" -f 1 | sort | uniq -c

Soooo, da haben wir ja schon potentielle IP’s, die wir mittels whois mal auf deren Ursprungsland testen.
Die meisten werden irgendwelche Russen, Chinesen, Franzosen, oder ger00tete Amerikaner sein.

Diese sperren wir der Reihe nach mit:
hier.die.ip.0/24
um auch gleich die potentiell benachbarten Leute freundlich aber bestimmt draußen zu halten
iptables -A INPUT -s hier.die.ip.0/24 -j DROP

Und flutsch, schon wird erst mal alles von der IP-Range gedroppt.

Das jetzt erst mal für 5-10 IP’s machen, mehr sind es bei slowloris selten.
(ansonsten ruhig ein paar mehr machen…)

So, jetzt setzen wir aber mal noch ein paar weitere Filter in die Firewall, um das auch für die Zukunft schön schwer zu machen:
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 8 -j DROP
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowdos --set
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowdos --update --seconds 15 --hitcount 15 -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

So, und ab hier sollte man dann in Verbindung mit mod_evasive sehen, wie sich sein Webserver wieder erholt hat 🙂


Jaja, Juristen und der neue ePerso

Abgelegt unter FLOP, Fundstück der Woche, Kurioses, Neues aus der alten Heimat, Sicherheit am 12.12.2010

Sachen gibts, die sind schon lustig:

Wie Rechtsanwalt Martin Schirmbacher erklärte, berge der Ausweis eine Reihe von Vorteilen. So könne ein Versandhandelskunde bei einer Bestellung mit dem neuen Ausweis nicht einfach abstreiten, dass er etwas bestellt hat. Hier wirke sich der sogenannte Anscheinsbeweis positiv für den Händler aus: Dass jemand den Ausweis verloren und nicht gesperrt habe und auch die PIN einem Dritten bekannt wurde, der dann bestellt habe, sei grobe Fahrlässigkeit.

Quelle: hier

Hach klar, der neue ePerso ist ja sowas von sicher, gell?

Na wie gut, daß ich keinen mehr brauch…



blog powered by wordpress
Design by Office and IT - Business Solutions
Optimiert durch suchmaschinen-freundlich