Server támadásának védése

kalmarr képe

Sziasztok,

olyan kérdésem lenne az egyik oldalt robotok folyamatosan támadják, amit a MOLLOM igaz sikeresen meg fog, de emiatt terheli a VPS serveremet, mivel a "tail -f /var/syslog"-ban egyfolytában csak próbálkozásokat látok (mindig kapcsolódik a MOLLOM serverrre, de elutasításra kerül)

Kérdésem lenne, hogy hogyan lehetne ezen támadásokat szigorítani, ami azt jelentené, hogy minél gyorsabban blokkolásra kerüljenek az IP-k.

Esetleg össze lehetne kombinálni a serverremmel a védekezést, azaz ilyen esetekben a VPS serverem tiltsa ki az IP-ket véglegesen (gyorsított formában).

A VPS-en Debian 7-fut.

Köszi!

KALMI

Melyik modulhoz, modulokhoz kapcsolódik a téma?: 
Drupal verzió: 
edgarpe képe

A honeypot és forumspam modulokat nézd meg. A honeypot-ot úgy állítsd be, hogy minden form-ot külön form element id-val védjen és minden string amit használ legyen eltérő a default beállítástól. Ezen felül, ha van energiád rá, az ipcímeket egyenként vagy tartományonként blokkolni.

A fentiekkel összekapcsolva (bár ez már advanced megoldás), de a failtoban debian csomaggal is lehet próbálkozni.

0
0
Balu Ertl képe

Egy ideig én is fáradhatatlanul tiltogattam az IP-címeket, de aztán attól tartottam, hogy esetleg egy jóhiszemű látogató véletlenül ugyanarról az IP-ről jön, mint korábban egy szpemmer. Vagy ennek statisztikailag zérus a matematikai esélye?

<offtopic>Ma már meghonosodott, bátran írhatjuk szervernek.</offtopic>

0
0
pp képe

Ip cím az simán lehet, hogy egy alhálózatot, vagyis több száz felhasználót takar, egy ip tartomány meg akár egy egész országot.

Egyszer a teljes sulinetet tették ban-ra az egyik nagy hazai szolgáltatónál. (több kicsinél meg rendszeres megoldás volt ez)

A különböző *isztánok ip tartományát is szokták tiltani, hisz lehet, hogy valaki nagy néha oda kerül és onnan netezne, de jóval több támadás jön onnan mint értelmes látogató, és ezért inkább kukázzák.

De ez mindig projektfüggő, szóval egyértelmű választ erre nem lehet adni.

1
0
pp képe

Egy lehetséges megoldás:

http://joecorall.com/drupal-stop-spam-with-mollom-and-block-ip

Bár elég barbár megoldás, és egy picit érdemes lenne szofisztikálni a dolgot. Ez ugyanis hamar a normális forgalmadat is meg tudja ölni, no meg az se egészséges, ha a iptables-be túl sok szabály van.

Védelem egyébként több szinten képzelhető el.

A Mollom a legkülső alkalmazás rétegbe helyezi el a védelmet, aminek az egyik legnagyobb hátrányával találkoztál, a nagy erőforrás fogyasztással. A legnagyobb előnyével is találkoztál, hisz ide lehet a legintelligensebb megoldásokat is elhelyezni, hisz itt áll rendelkezésünkre a legtöbb adat ami alapján analizálhatjuk gépi úton, hogy az adott kérdés humán-e/spam-e avagy sem.

A következő szint a webszerver réteg, itt pl. egy jól bekonfigurált mod_security elég sok buta robotot meg tud fogni, pl. azokat akik nem küldenek UserAgent fejlécet, amit minden böngésző és a normális keresőrobotok is küldenek. A mod_security-t alapbeállításokkal nem ajánlom, mert úgy semmi olyan kérést nem enged be, ahol egy POST kérésben kacsacsőr < van.
pl.: http://ocpsoft.org/opensource/antispam-filter-with-modsecurity-and-fail2...

A legalacsonyabb réteg talán az iptables(vagy egyéb intelligensebb tűzfal megoldás), de itt csak konkrét ip címeket, vagy ip alhálózatokat tudsz kitiltani, túl nagy intelligencia itt már nem lesz. Ide mindenképpen kell valamilyen inteligencia. A fenti két link egy kísérlet erre, hogy a fenti intelligenciát lehozzák ebbe a rétegbe. Az itt elhelyezett védelemnek megvan az az előnye, hogy a legkevesebb erőforrást eszi, hisz a kérések nem, hogy az alkalmazás rétegig, hanem a webszerverig se fognak eljutni.

Persze a fenti két példából az is látszik, hogy a teljesen automatizált megoldás nincsen, mindig szükséged lesz human kontrollra, aki értő módon a rendszeredet komplexen szemlélve hoz meg döntéseket.

pp

3
0