Pro

[Muchomorr]

Odkąd działa na moim Debianie apache zdarza mi się mnóstwo zapytań do nieistniejących plików katalogów, a w szczególności (najczęściej):

[Fri Jan 16 10:36:20 2009] [error] [client 209.139.208.74] File does not exist: /home/borowik/public_html/roundcube
[Fri Jan 16 10:36:21 2009] [error] [client 209.139.208.74] File does not exist: /home/borowik/public_html/webmail
[Fri Jan 16 10:36:21 2009] [error] [client 209.139.208.74] File does not exist: /home/borowik/public_html/mail
[Fri Jan 16 10:36:21 2009] [error] [client 209.139.208.74] File does not exist: /home/borowik/public_html/rc

Mnóstwo podobnych z różnych IP, coś jakby ktoś miał jakiś Botnet czy coś (tak mi to wygląda z moich doświadczeń z IRCa). Zablokowałem już z jakichś 30 hostów wykonujących tego typu zapytania i jest to coraz rzadsze. Ogólnie ostatnio dostałem w logu jakiegoś bardziej rozbudowanego "scana".

Security Events
=-=-=-=-=-=-=-=
[Fri Jan 16 12:10:27 2009] [error] [client 83.18.217.3] client denied by server configuration: /usr/share/doc/
[Fri Jan 16 12:10:27 2009] [error] [client 83.18.217.3] client denied by server configuration: /usr/share/doc/NonExistent.html
Jan 16 12:10:22 debian postfix/smtpd[30366]: lost connection after VRFY from bwj3.internetdsl.tpnet.pl[83.18.217.3]
Jan 16 12:10:23 debian postfix/smtpd[30399]: warning: bwj3.internetdsl.tpnet.pl[83.18.217.3]: SASL CRAM-MD5 authentication failed: no mechanism available
Jan 16 12:10:24 debian postfix/smtpd[30378]: warning: SASL authentication failure: Couldn't find mech GSSAPI
Jan 16 12:10:24 debian postfix/smtpd[30378]: warning: bwj3.internetdsl.tpnet.pl[83.18.217.3]: SASL GSSAPI authentication failed: no mechanism available

System Events
=-=-=-=-=-=-=
[Fri Jan 16 12:09:34 2009] [error] [client 83.18.217.3] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

Reszta tutaj, uprzedzam kawał loga http://wklej.org/id/40077/
I miałbym 2 pytania:

1. Jak bardzo niebezpieczne jest pierwsza sekcja dotycząca postfiksa, wydaje mnie się, że to było w celu znalezienia "open relay serwera"? W celu użycia go do rozsyłania spamu?
2. Jest sens zgłaszać do [email protected] taką informację zawartą w logach?
3. Jest jakieś narzędzie aby po wykryciu GET do apache np. /mail automatycznie dodawać hosta do hosts.deny?

P.S. Mam nadzieję, że mój Debian nie robi za "zombie" bez mojej wiedzy.

[lessmian2]

Co do pytania nr. 3 :-) Można to zrobić w samym Apache2 jeśli Cię to satysfakcjonuje i to na kilka sposobów.
Nr. 1 - na "chama", przepraszam za wyrażenie

Kod: Zaznacz cały

<Location /costam >
  Order allow,deny
  Denny from all
</Location>

Nr. 2 - dla określonego żądania np. GET lub POST

Kod: Zaznacz cały

<Location /costam>
  <Limit GET POST>
    Order allow,deny
    Denny from all
  </Limit>
</Location>

Nr. 3 - przeciw skanerom:

Kod: Zaznacz cały

<IfModule mod_evasive20.c>
  DOSHashTableSize 3097
  DOSPageCount 2
  DOSSiteCount 30
  DOSPageInterval 1
  DOSSiteInterval 1
  DOSBlockingPeriod 10
</IfModule>

Choć tu trzeba doinstalować moduł mod_evasive. Ale dzięki temu, jeśli coś lub ktoś będzie się za szybko/za dużo razy łączył w krótkim czasie do serwera to dostanie bana.
Co prawda podane przeze mnie rozwiązania nie dodają wpisów do hosts.deny, ale blokują dostęp do tego co chcemy zabezpieczyć.