Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

Lord Beni-Aretz

Elite Hacker

Registrado em: Jul 2009

Posts: 1707
- Share
- Tweet
Font Size

#1

Dica Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

08-01-2012, 03:18

Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

A Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... disponíveis na internet e o infeliz do Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... bot acabam tornando a vida dos nossos servidores Web um inferno.

Geralmente o Apache responde a estas tentativas com sucessivos error 400 ( Bad Request ). Para acabar com essa apurrinhaçăo podemos bloqueá-las usando o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....

Exemplo de um log do ZmEu bot

82.145.xx.xx – – [13/Aug/2010:07:19:36 -0300] “GET /phpadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:35 -0300] “GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 198 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:35 -0300] “GET /mysqladmin/scripts/setup.php HTTP/1.1″ 404 194 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:34 -0300] “GET /myadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:33 -0300] “GET /dbadmin/scripts/setup.php HTTP/1.1″ 404 191 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:33 -0300] “GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 196 “-” “ZmEu”

Para isso adicione as linhas abaixo dentro da tag Active Response Config localizada no arquivo /var/ossec/etc/ossec.conf1

<!– Active response to block http scanning –>

<active-response>
<command>route-null</command>
<location>local</location>

<!– Multiple web server 400 error codes from same source IP –>
<rules_id>31151</rules_id>
<timeout>600</timeout>

</active-response>

A configuraçăo acima executará o script route-null sempre que a regra 31151 em web_rules.xml for detectada bloqueando o atacante por 10 min ( 600s ), isto significa que ocorrendo vários erros 400 no log do Apache o ip de origem será bloqueado por 10 min.

Fonte: ITSC Blog

Năo Acha Estranha Essa Frase:
Eu Sou Hacker e Uso Windows XP!

Use Débian, Aprenda Slackware e Brinque Muito Com Back|Track

Fă ->Nickguitar.dll

Quer ajudar nossso fórum e năo sabe como?
Entăo click na imagem e ajude-nos com os links off
Tags: Nenhum(a)

Top
fvox

Membro

Registrado em: Jun 2010

Posts: 114
- Share
- Tweet
Font Size

#2

09-01-2012, 07:35

Hi.

Material de primeira! O HIDS tem se saído uma ótima soluçăo como IDS.
Fiz uns testes no laboratório aqui e me surpreendeu muito. Năo só é multi-plataforma como age melhor em cada uma delas, como por exemplo, monitorando o reg do Windowzz e fazendo detecçőes de rootkits em *nix-like.

[]'s

Desenvolvedor Perl, PHP, .NET (C#, VB.NET, ASP.NET), Java (J2EE), Shell Script, JavaScript/Ajax, C, amante de Linux e noob.

twitter | last.fm
Top
Comment

Unconfigured Ad Widget

Anúncio

Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

Dica Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

Comment