[How-To]Apache vor Botnets "schützen"

[Laymi]

Hallo Leute,

ich stelle hier mal eine Möglichkeit vor zumindest euren Webserver gegen Angriffe zu schützen und die Logs/Traffic um ca. 20-30% zu reduzieren.

Die Idee ist die folgende: Man sperrt die Länder, in denen die Bot Pcs stehen - relativ einfach. Das Problem dabei ist, dass die Plugins, welche Apache mitbringt nicht/schlecht funktionieren und de facto nichts bringen.

Das schützen in der Überschrift ist in Anführungszeichen, weil man mit einem deutschen Botnet immernoch zugreifen könnte. Da deutsche Botnets aber teuer und selten sind kann man das ganze schon als weitestgehend sicher betrachten.

Ich habe euch die IP Ranges der am meisten verseuchten Länder mal rausgesucht und hier rein kopiert.

Wenn Zeit und Lust da ist kann ich die Tage auch ein Tool releasen, welches die Verbindungen zu diesen Ips auch gänzlich sperren kann.

Einbinden der Ländersperre:
Ihr öffnet euren htdocs/www Ordner.

Hier erstellt ihr eine neue Datei namens .htaccess.
Ganz wichtig! Stellt die Erweiterungen bei bekannten Datentypen ein, sonst ist es eine .htaccess.txt Organisieren->Order- und Suchoptionen->Erweiterungen bei bekannten Datentypen ausblenden.

Dann kopiert ihr in diese Datei die Inhalte der Textdateien, die im Anhang sind ( welche ihr wollt) und schon können Computer aus diesen Ländern nicht mehr auf euren Webservice zugreifen.

Wenn euer Server geddost wird bin ich immer dankbar für eure Logs, um neue Länder der Liste hinzuzufügen.

Hier noch eine Auflistung der IPs die ihr sperren würdet:
Iran -> 9,611,528
Japan -> 201,653,760
Russland -> 46,057,760
China -> 330,090,748
Albanien -> 369,408

Vielleicht hilft es jemandem.
Weitere Länder auf Anfrage.
Wenn jemand die Listen als CIDR,Netmask, IP Range, .htaccess Allow,Decimal/CIDR, Cisco ACL, PeerGuardian2
Web.config deny, Web.config allow oder network-object haben will einfach anschreiben.
Kein VT weil .txt.

MfG

[Icetea]

Gehört nicht in diese Sektion da es "nichts" mit Flyff Servern zu tun hat, auch wenn gerade viele Server davon betroffen sind bin ich der Meinung das dies ein Tutorial für die Allgemeinheit ist und nicht in die Flyff Sektion gehört.

#moverquest

Greetings

[Laymi]

Hallo.
Ja das habe ich zuerst auch gedacht, aber gerade wegen der von dir angesprochenen Frequenz von Attacken auf Flyff Server habe ich mich dann doch für die Flyff Section entschieden.

MfG

[Reavern]

Der Verweis im Flyff-Bereich ist 1 Tag lang da.

#moved

[�...]

vielen dank für den guide sehr hilfreich, kann man eigendlich auch ne weiterleitung einrichten, sodass die leute dich nicht dossen sondern die seite von Angela merkel. Wer natürlich für die besitzer des botnetz richtig bitter, die wrden dann auf jeden fall geschnappt

[Laymi]

Ja, das ginge aber da die Botnets im Iran sitzen ist die Chance einer erfolgreichen Suche nach einem Schuldigen = 0.

So würde ich deine Idee umsetzen.(.htaccess & mod_rewrite)
Die redirect.html könnte man dann einfach als Weiterleitung benutzen.

Code:

Get mod_rewrite going
Options -MultiViews +FollowSymLinks
RewriteEngine On

# Weiterleiten
RewriteCond %{REMOTE_ADDR} IP 1 [NC]
RewriteCond %{REMOTE_ADDR} IP 2 [NC]
...
RewriteCond %{REMOTE_ADDR} IP 201,653,760 [NC]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule !redirect.html$ redirect.html [R=307,L]

[FlyCraft.TobiLap]

Bringt den Flyff Leuten rein GARNICHTS ... weil 99% ihren server bei Webtropia haben. diese machen di leitung zu, sobald bissl ddos kommt

[�...]

wer einen server bei webtropia hat kann eh seinen server vergessen, der hoster ist bescheuert

[Laymi]

Es gibt genug Leute, die einen Server bei Hetzner oder Staminus haben. Letzteres ist wie ich meine die beste Wahl.