|
| Hvordan blokerer man bestemte ip-adresser ~ Fra : x |
Dato : 15-09-02 18:52 |
|
Hejsa
Jeg er ude for nogle underlige angrab på min webserver....
Error.log i apache siger en del om forskellige ting, som der bliver
forsøgt for at få adgang til maskinen...
udklip af denne er nederst i dette indlæg.
Jeg bruger Norton som firewall, men har prøvet zonealarm.
Denne er for hukommelseskrævende til formålet desværre.
Hvordan blokerer man for nogle bestemte ting, som folk forsøger at
afvikle på ens maskine...
Foreksempel forsøger nogle at få gang i root.exe, som ikke ligger på
maskinen, men jeg ville gerne sætte en regel op, så firewallen
automatisk blokerer de ip-adresser som forsøger at gøre bestemte ting.
Dette burde vel være muligt ??
mvh
M. Jørgensen
| |
Anders Lund (15-09-2002)
| Kommentar Fra : Anders Lund |
Dato : 15-09-02 19:05 |
|
x <dd@dd.com>, wrote in
<news:80i9ou4v2gsfcv9lfhv036g3bhmonm8lb6@4ax.com>:
> Jeg bruger Norton som firewall, men har prøvet zonealarm.
> Denne er for hukommelseskrævende til formålet desværre.
> Hvordan blokerer man for nogle bestemte ting, som folk forsøger at
> afvikle på ens maskine...
>
> Foreksempel forsøger nogle at få gang i root.exe, som ikke ligger på
> maskinen, men jeg ville gerne sætte en regel op, så firewallen
> automatisk blokerer de ip-adresser som forsøger at gøre bestemte ting.
> Dette burde vel være muligt ??
Det er der vist ikke nogen personlige firewalls som kan. Så skal du have fat
i en lidt mere professionel firewall, som kigger pakkerne igennem.
De angreb du er udsat for er sikkert nogle automatiske nogen, fra inficeret
IIS servere rundt omkring.
--
Anders Lund - spam2002q3@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
Soldat - Grineren Worms/Counter Strike spil - http://www.soldat.prv.pl
| |
Martin Moller Peders~ (15-09-2002)
| Kommentar Fra : Martin Moller Peders~ |
Dato : 15-09-02 20:17 |
|
In <am2i51$21vf$1@news.cybercity.dk> "Anders Lund" <news@anders.adsl.dk> writes:
>x <dd@dd.com>, wrote in
><news:80i9ou4v2gsfcv9lfhv036g3bhmonm8lb6@4ax.com>:
>> Jeg bruger Norton som firewall, men har prøvet zonealarm.
>> Denne er for hukommelseskrævende til formålet desværre.
>> Hvordan blokerer man for nogle bestemte ting, som folk forsøger at
>> afvikle på ens maskine...
>>
>> Foreksempel forsøger nogle at få gang i root.exe, som ikke ligger på
>> maskinen, men jeg ville gerne sætte en regel op, så firewallen
>> automatisk blokerer de ip-adresser som forsøger at gøre bestemte ting.
>> Dette burde vel være muligt ??
>Det er der vist ikke nogen personlige firewalls som kan. Så skal du have fat
>i en lidt mere professionel firewall, som kigger pakkerne igennem.
>De angreb du er udsat for er sikkert nogle automatiske nogen, fra inficeret
>IIS servere rundt omkring.
tilfoej deres ip-adresser til din hosts file, som 127.0.0.1, som faar
de ihvert falde aldrig svar tilbage.
/Martin
| |
Lars (15-09-2002)
| Kommentar Fra : Lars |
Dato : 15-09-02 22:41 |
|
In article <am2i51$21vf$1@news.cybercity.dk>, news@anders.adsl.dk says...
> Det er der vist ikke nogen personlige firewalls som kan. Så skal du have fat
> i en lidt mere professionel firewall, som kigger pakkerne igennem.
ZoneAlarm 3.0 Pro, har denne facilitet dvs. både med spærring af IP-adresse områder for alle
applikationer eller enkelte applikationer/ services
--
Best regards
Lars
| |
Anders Lund (16-09-2002)
| Kommentar Fra : Anders Lund |
Dato : 16-09-02 05:55 |
|
Lars <lc@get3net.dk>, wrote in
<news:MPG.17ef1cee1025384d9896ff@news.inet.tele.dk>:
> In article <am2i51$21vf$1@news.cybercity.dk>, news@anders.adsl.dk says...
>> Det er der vist ikke nogen personlige firewalls som kan. Så skal du have
>> fat i en lidt mere professionel firewall, som kigger pakkerne igennem.
>
> ZoneAlarm 3.0 Pro, har denne facilitet dvs. både med spærring af
> IP-adresse områder for alle applikationer eller enkelte applikationer/
> services
Det er jo ikke det han vil have. Han vil have at ZoneAlaram blokere for
forspørgspørgelser til hans Apache server, som indeholder "root.exe". Det
tvivler jeg på at ZA kan håndtere.
--
Anders Lund - spam2002q3@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
Soldat - Grineren Worms/Counter Strike spil - http://www.soldat.prv.pl
| |
Peder Vendelbo Mikke~ (16-09-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 16-09-02 07:44 |
|
Anders Lund skrev:
> Han vil have at ZoneAlaram blokere for forspørgspørgelser til hans
> Apache server, som indeholder "root.exe". Det tvivler jeg på at ZA
> kan håndtere.
Der må da findes noget lignende Urlscan [1] til Apache?
[1] Urlscan er et filter der kan opsættes "foran" IIS, til at filtrere
hvilke URLs der sendes videre til IIS:
<URL: http://www.microsoft.com/technet/security/URLScan.asp >
Det kan ikke anbefales at installere programmet, hvis man ikke har
tænkt sig at læse dokumentationen.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >
| |
Asbjorn Hojmark (15-09-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-09-02 20:52 |
|
On Sun, 15 Sep 2002 19:52:25 +0200, x <dd@dd.com> wrote:
> [...] men jeg ville gerne sætte en regel op, så firewallen
> automatisk blokerer de ip-adresser som forsøger at gøre bestemte
> ting. Dette burde vel være muligt ??
Ja, det er muligt, hvis man har en firewall med IDS-funktionali-
tet, eller en separat IDS, der forstår ens firewall. Når den ser
et bestemt trafikmønster, der er karakterisktisk for et bestemt
angreb, kan den lukke helt af for trafik fra den adresse (eller
flere).
.... Men hvis ens web-server ikke er sårbar overfor de problemer,
kan man jo være ligeglad med, at folks web-servere står og banker
på (givet, at det ikke er så meget, at det reelt giver denial of
service).
-A
--
http://www.hojmark.org/
| |
Michal Wodzinski (16-09-2002)
| Kommentar Fra : Michal Wodzinski |
Dato : 16-09-02 09:58 |
|
| |
Alex Holst (16-09-2002)
| Kommentar Fra : Alex Holst |
Dato : 16-09-02 10:24 |
|
Michal Wodzinski <michal@null.dk> wrote:
> Hvad er en IDS?
Svaret paa dit spoergsmaal findes her:
http://a.area51.dk/sikkerhed/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Michal Wodzinski (16-09-2002)
| Kommentar Fra : Michal Wodzinski |
Dato : 16-09-02 11:44 |
|
| |
Alex Holst (16-09-2002)
| Kommentar Fra : Alex Holst |
Dato : 16-09-02 12:02 |
|
Michal Wodzinski <michal@null.dk> wrote:
> F.eks. tripwire hvis det er en Host IDS?
Ja, men jeg ved ikke hvorfor folk svarer "tripwire" hver gang der siges
host ids. Der findes andre muligheder; f.eks. er mtree glimrende til
opgaven -- hvertfald paa UNIX maskiner.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Christian E. Lysel (16-09-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-09-02 12:57 |
| | |
Jesper Louis Anderse~ (16-09-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 16-09-02 13:56 |
|
On Mon, 16 Sep 2002 12:01:40 +0100, Alex Holst <a@mongers.org> wrote:
> Michal Wodzinski <michal@null.dk> wrote:
>> F.eks. tripwire hvis det er en Host IDS?
>
> Ja, men jeg ved ikke hvorfor folk svarer "tripwire" hver gang der siges
> host ids. Der findes andre muligheder; f.eks. er mtree glimrende til
> opgaven -- hvertfald paa UNIX maskiner.
pc-063 % uname
Linux
pc-063 % mtree
zsh: command not found: mtree
Så det...
aide er nu også et godt alternativ.
--
Jesper
| |
Michal Wodzinski (16-09-2002)
| Kommentar Fra : Michal Wodzinski |
Dato : 16-09-02 13:55 |
|
| |
|
|