+ Responder ao Tópico



  1. 19-02-2008, 17:43 #1
    Dedao
    Dedao está desconectado
    Avatar de Dedao
    Ingresso
    Jan 2006
    Posts
    375

    Padrão tentativas de invasão no apache

    Ola. Estou tendo um problema de tentativas de invasão pelo apache. Além de iptables, alguém conhece alguma forma de bloquear essas tentativas de invasão ?....estou postando o log que o ossec me enviou:

    OSSEC HIDS Notification.
    2008 Feb 19 12:38:15

    Received From: GIA->/etc/httpd/logs/access_log
    Rule: 31151 fired (level 10) -> "Mutiple web server 400 error codes from same source ip."
    Portion of the log(s):

    201.25.28.170 - - [19/Feb/2008:12:38:14 -0300] "PROPFIND /sistema/ HTTP/1.0" 405 443 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
    201.25.28.170 - - [19/Feb/2008:12:38:15 -0300] "PROPFIND /sistema/ HTTP/1.0" 405 443 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
    201.25.28.170 - - [19/Feb/2008:12:38:14 -0300] "PROPFIND /sistema/ HTTP/1.0" 405 443 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
    201.25.28.170 - - [19/Feb/2008:12:38:14 -0300] "PROPFIND /sistema/ HTTP/1.0" 405 443 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
    201.25.28.170 - - [19/Feb/2008:12:37:09 -0300] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.0" 404 424 "-" "MSFrontPage/5.0"
    201.25.28.170 - - [19/Feb/2008:12:37:09 -0300] "GET /_vti_inf.html HTTP/1.0" 404 410 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
    201.25.28.170 - - [19/Feb/2008:12:37:08 -0300] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.0" 404 424 "-" "MSFrontPage/5.0"
    201.25.28.170 - - [19/Feb/2008:12:37:08 -0300] "GET /_vti_inf.html HTTP/1.0" 404 410 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
    201.25.28.170 - - [19/Feb/2008:12:37:09 -0300] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.0" 404 424 "-" "MSFrontPage/5.0"


    []'s, Renato
    201.25.28.170 - - [19/Feb/2008:12:37:09 -0300] "GET /_vti_inf.html HTTP/1.0" 404 410 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
    Citação Citação
  2. 19-02-2008, 22:36 #2
    andersoneduardo
    andersoneduardo está desconectado
    Hack 'n Roll Avatar de andersoneduardo
    Ingresso
    Jun 2007
    Posts
    217

    Padrão

    usa o mod_security do apache!

    é otimo ele!

    vc pode filtrar o que o invasor digitar tipo:

    bloquear .exe ou algo como cmd, string's de SQL injection e se quiser mostra uma pagina de accesso negado a ele!

    resumindo

    1 firewall WEB
    Citação Citação
  3. 21-02-2008, 18:56 #3
    PEdroArthurJEdi
    PEdroArthurJEdi está desconectado
    At The JEdi Lair's Avatar de PEdroArthurJEdi
    Ingresso
    Sep 2007
    Posts
    268
    Posts de Blog
    19

    Padrão

    Você pode implamtar também um Sistema de Prevenção de Intrusão, tal como o HLBR. Ele consegue boloquear essas tentativas de Invasão.

    http://hlbr.sourceforge.net
    Citação Citação



« Tópico Anterior | Próximo Tópico »