Fórum Ubuntu CZ/SK

Ostatní => Ubuntu Server => Téma založeno: nuclex 29 Září 2013, 18:16:40

Název: Blokování stringu z apache2 logu - fail2ban, iptables
Přispěvatel: nuclex 29 Září 2013, 18:16:40

Zdravím, máte někdo funkční postup na blokování stringu z hlavičky kterou si uloží apache2 do logu?

Příklad, řádek z logu:

218.XX.XX.5 - - [29/Sep/2013:18:02:03 +0200] "HEAD / HTTP/1.1" 200 0 "http://www.hysper.com/monitor-test" "Mozilla/4.0 (compatible; MSIE 6.0; www.hysper.com bla bla)"

Chci vytvořit pravidlo které zablokuje bez ohledu IP adresy hosta vše co se identifikuje jako hysper.com (hysper.com v příkladu není to revers t.z mění to IP adresy).

Intensita GET/POST/HEAD není dost vysoká tak aby šel použít DOS filtr..

Díky za radu..

Název: Re:Blokování stringu z apache2 logu - fail2ban, iptables
Přispěvatel: soudruh 29 Září 2013, 22:52:54

Zablokovat to v konfiguraci apache globálně, nebo pomocí souboru .htaccess pro konkrétní domény?

Kód: [Vybrat]

SetEnvIfNoCase User-Agent "^hysper" bad_user
Deny from env=bad_user

Název: Re:Blokování stringu z apache2 logu - fail2ban, iptables
Přispěvatel: nuclex 30 Září 2013, 13:02:38

Kam konkrétně a v jakém tvaru je myšleno to globálně? Dík.

PS: htaccess moc nefunguje.. Jako by na chvilku ano.. pak to ale zas začne lítat v logu..

RewriteEngine On
SetEnvIfNoCase User-Agent "^Hysper" dos_http

Order Allow,Deny
Allow from All
Deny from env=dos_http

SetEnvIfNoCase Referer "^http://.*(poker|hysper|pingdom|uptime|cash|video|liftmaster|fillbest|pharma|.info/)" spam_ref=1

Order Allow,Deny
Allow from all
Deny from env=spam_ref

Název: Re:Blokování stringu z apache2 logu - fail2ban, iptables
Přispěvatel: nuclex 30 Září 2013, 18:08:11

Díky za váš čas.. vyřešil jsem to nakonec pomocí bad_bots obsahového filtru přímo v zařízení na bráně (do sítě kde je server).. t.z nedostane se to teď ani k serveru..

Ten .htaccess fungoval.. nevšiml jsem si kódu 500 v logu.. Ale byl toho na druhou stranu plný log.. t.z nutnost nastavovat co se nemá logovat..