Massives DoS-Problem

Dieses Thema im Forum "Server Administration" wurde erstellt von Falcon37, 1. Dez. 2009.

  1. Falcon37

    Falcon37 New Member

    Hey,

    habe in letzter Zeit ein ziemlich massives DoS Problem, anscheinend habe ich den DoS Schutz nicht richtig installiert. Server ist nach diesem Setup installiert. Würde auf nginx oder irgendwas "leichtes" umsteigen, aber das ist ja auch nicht so einfach...

    Kennt wer ein funktionierendes, nicht veraltetes oder nicht funktionierendes Tutorial oder so was in der Art dafür was Abhilfe schafft?

    Danke.
     
  2. Till

    Till Administrator

    DOS auf welchen Dienst? Ein DOS Schutz wird in dem Tutorial auch gernicht installiert, das Tutorial enthält nur fail2ban und das ist gegen brute force Passwort attacken und nicht DOS. Gegen DOS Attachen nutzt man normalerweise eine spezialisierte Firewall vor dem Server.
     
  3. Falcon37

    Falcon37 New Member

    Nur auf Apache. Das mit dem Link zum Tut habe ich unglücklich ausgedrückt, meinte damit das der Server nach diesem Tutorial "im Grunde" installiert ist.

    Momentan versuchte ich mehr oder weniger erfolgreich die Attacken mit IP Tables zu sperren, ging auch eine Zeit lang gut aber jetzt wechseln die IP Adressen ständig da kann ich manuell kaum noch was ausrichten.

    Hab gehört das mod_security und mod_evasive ganz gut zur Abwehr für Apache sind, aber richtig installiert habe ich die wohl nicht (habe versucht selber zU kompilieren - wie es scheint ohne Erfolg).
     
  4. Till

    Till Administrator

    mod_evasive gibt es auch in den repositorys, kannst Du einfach installieren mit:

    apt-get install libapache2-mod-evasive
     
  5. Falcon37

    Falcon37 New Member

    ah okay danke. :)

    jetzt habe ich nur noch ein kleines Problem mit der Konfiguration, und zwar check ich nicht ganz wo jetzt die Konfigurationsdatei ist, da sagen diverse Quellen verschiedenes, habe bis jetzt folgende Orte versucht:

    /etc/apache2/mods-available/evasive.conf
    /etc/apache2/mods-available/evasive.load
    /etc/apache2/apache2.conf
    /etc/apache2/mod_evasive.conf


    Jede Datei enthält:

    Code:
    <IfModule mod_evasive20.c>
        DOSHashTableSize    3097
        DOSPageCount        2
        DOSSiteCount        50
        DOSPageInterval     1
        DOSSiteInterval     1
        DOSBlockingPeriod   10
    </IfModule>
    Apache wurde erfolgreich neu geladen und anscheinend ist das Modul auch aktiviert.
    Allerdings sagt mir der Funktionscheck mit der test.pl auch nach 40 mal aufrufen dies:
    Code:
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    HTTP/1.1 200 OK
    
    Vielleicht jemand eine Idee wo das korrekte File ist oder was ich falsch mache [​IMG]

    Thx
     
  6. Till

    Till Administrator

    Ist dieses test.pl file ein offizieller Test des Projektes? Rufst Du den von einem externen Server aus auf, kann ja sein dass er localhost nicht als Gefahr ansieht.
     
  7. Falcon37

    Falcon37 New Member

    Ja gehört zum Paket. Habe auf novell.com gelesen das man das als root ausführen soll bzw. hat der das im Beispiel.
     
  8. Quest

    Quest Member

    Hast du den Mod auch per a2enmod aktiviert?
     
  9. Falcon37

    Falcon37 New Member

    Ja habe ich.
     
  10. Falcon37

    Falcon37 New Member

    Endlich den Fehler gefunden. :)

    mod-evasive wurde, warum auch immer, nicht korrekt installiert!
    Einfach alle Konfigurations-Dateien gelöscht und den mod mit apt-get install --reinstall libapache2-mod-evasive neu installiert.

    Die korrekte Datei für die Einstellungen ist /etc/apache2/mods-available/mod-evasive.load.

    Auf die test.pl kann man bei "hetiger" Konfiguration verzichten, einfach mit STRG + R Seite sehr schnell neu laden es sollte "404 Forbidden" kommen, geht aber bei einer er laschen Konfiguration ggf. nicht.

    Nach jeder Änderung Apache neu laden....
     

Diese Seite empfehlen