Meinen Server erreichen immer wieder Anfragen nach einem bestimmten Schema, meist 10 bis 15 im Sekundentakt und von der gleichen IP aus, die auf nicht vorhandene Dateien lauten und offensichtlich Sicherheitslücken ausnutzen wollen.
Kann man sowas auf einfache, aber effektive Art und Weise blocken?
Ok, statisch wäre das machbar, indem ich alle Schlüsselworte (awstats.pl, xmlrpc.php und Konsorten) aufliste, die in den Anfragen vorkommen, und anhand dieser Liste blocke.
Aber ist es auch möglich, nach solch einer Anfrage alle Anfragen von der entsprechenden IP oder Domain für fünf Minuten oder so zu blocken? Das hätte den Vorteil, daß man die Schlüsselbegriffe genauer formulieren kann und trotzdem noch sehr effektiv Exploits verhindert. Daneben würden dann auch neue Exploits geblockt, für die noch keine Schlüsselworte eingetragen sind, solange vorher eine Anfrage kommt, die den Block auslöst.
Also z.B. folgende Anfrage:
- Code: Select all
xyz.domain.tld - "GET /awstats/awstats.pl?configdir=[...usw...]"
(das ist in den meisten Fällen die erste von den 10-15 Anfragen) soll zu einem zeitweiligen Block von 'xyz.domain.tld' führen.
Bisher sind in der httpd.conf einige Blocks gegen Bots eingetragen, die über das Modul setenvif laufen. Gibt es dort oder z.B. beim Rewrite-Modul entsprechende Möglichkeiten?
Grüße aus Norddeutschland - sh106