Il giorno 06/giu/2013, alle ore 11:46, Giuseppe 'Gippa' Paterno' <[email protected]> ha scritto:
> Ciao Dario, >> Stamattina, guardando i log del mio server ho trovato un po' di tentativi >> maldestri di accedere a pagine inesistenti sul mio server > [...] >> Per ora, vista la suddetta ignoranza, ho semplicemente aggiunto una regola >> al firewall per bloccare tutto il traffico proveniente da quel range di IP. >> > Ovviamente questo approccio va bene se SAI cosa riceve il tuo server e quindi ti puoi "permettere" di firewallare qualche subnet. Questo approccio in un server aperto al pubblico (e che quindi potenzialmente potrebbe dover ricevere comunicazioni legittime ANCHE da quel range di IP) non ?? applicabile. Ti consiglio caldamente di guardare un software come fail2ban, che non fa altro che parsare i log, e in base al triggering di determinate regole, fa un'azione. Io per esempio su tutti i miei server shared (che sono un bel po') ho attivato automaticamente il ban dell'IP per 10 minuti, PIU' l'invio del complain con tanto di log ai diretti interessi, ovvero gli abuse@ Questo ti permette di "scoraggiare" l'utilizzo di queste tecniche indiscriminate nei tuoi confronti, e anche di mantenere Internet un posto pi?? "pulito". > Guarda, queste cose in generale mi succedono tutti i giorni a tutte le > ore, direi che fa parte di "Internet" e quindi a questi livelli non puoi > fare gran che, se non adottare quello che hai fatto fino ad adesso > oppure un filtro a livello di trasporto HTTP piu' intelligente, tipo > negare quelle URL da determinati IP o usare moduli come mod_security. Mod_Security ?? BELLISSIMO, ma solo a patto di sapere ESATTAMENTE cosa sta girando sul tuo server, e quindi poter mitigare ogni problematica in caso (che sono tantissime.. se lo attivi praticamente con una ruleset di base base base su un server shared in pratica smettono di funzionare il 99% dei siti :P Con fail2ban non sono automatizzi la procedura di parsing dei log e relativo blocco via firewall (?? multiservizio, io lo uso su FTP, SSH, SASL, POP3/IMAP4..) ma puoi anche collegare tutta una serie di operazioni automatiche, molto comodo nel profilare questo genere di attivit??. A presto Gianluca -- UNIX Sysadmin - Apple ACTC ACDT ACHDES ACTC Certified ??? Third Eye Consulting di Zamagni Gianluca ??? em@il. [email protected] - tel. 3288242325 SAVE PAPER think before print this email
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
