https://slinkov.ru/openforum/vsluhforumID3/12681.html Роб из HSpherePackages.com создал (http://dedic.ru/node/116) хороший BFD (Brute Force Detection) скрипт, который позволяет автоматически блокировать атакующие хосты. Скрипт бесплатный и может работать как на Linux, так и FreeBSD.<br><br><br>Дополнение от редактора: Для борьбы с перегрузками на сервере opennet.ru используется скрипт apache_mon (http://www.opennet.ru/dev/alertmon/apache_mon.pl), который на основе периодического анализа access лога apache и превышении заданной величины Load Average на сервере, производит блокировку адресов превысивших заданный rate limit. Кроме того, при обнаружении большого числа запросов к динамически создаваемой странице, скрипт позволяет прокэшировать данную страницу через статику. Блокировка осуществляется через mod_rewrite правило через .htaccess, но нетрудно переработать скрипт для блокировки через rewrite map или пакетный фильтр.<br><br><br>URL: http://dedic.ru/node/116<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=6399<br> https://slinkov.ru/openforum/vsluhforumID3/12681.html#52 Sun, 27 Nov 2005 05:36:07 GMT RFC:<br><br>14.43 User-Agent<br><br> The User-Agent request-header field contains information about the<br> user agent originating the request. This is for statistical purposes,<br> the tracing of protocol violations, and automated recognition of user<br> agents for the sake of tailoring responses to avoid particular user<br> agent limitations. User agents SHOULD include this field with<br> requests. The field can contain multiple product tokens (section 3.8)<br> and comments identifying the agent and any subproducts which form a<br> significant part of the user agent. By convention, the product tokens<br> are listed in order of their significance for identifying the<br> application.<br><br> User-Agent = "User-Agent" ":" 1*( product &#124; comment )<br><br> Example:<br><br> User-Agent: CERN-LineMode/2.15 libwww/2.17b3<br><br><br>Так, что... не нравится использовать UA поле, готовьтесь к глюкам. Параноидальное приваси с нормальным функционированием несовместимы. https://slinkov.ru/openforum/vsluhforumID3/12681.html#51 Sat, 12 Nov 2005 05:05:49 GMT &gt;А поконкретнее? <br>&gt;<br>&gt;Не вижу тебя в логах. <br><br>Я тестил с разных серверов.<br><br>&gt;<br>&gt;Или ты бан от SNORT'а принимаешь за "не сдюжил"? <br><br>А за что бан? Я просто попробовал натравить пару сотен wget'ов. Как же забота об юзерах? :))))<br><br><br> https://slinkov.ru/openforum/vsluhforumID3/12681.html#50 Sat, 12 Nov 2005 03:05:34 GMT &gt;&gt;клевый у тебя скрипт. <br>&gt;&gt;еще и роботом меня обозвал!<br>&gt;&gt;смех и не только. <br>&gt;<br>&gt;Нечего тереть все подряд HTTP заголовки без надобности или использовать анонимные proxy. <br>&gt; Чем, напирмер, вам HTTP_USER_AGENT помешал ? <br><br>нее... маразм основанный на паранойе<br>я хочу страничку - посчу запрос. Если сервант по запросу не дает контент<br>при отстутствии НЕНУЖНЫХ заголовков - то нуна че-то менять в консерватории... https://slinkov.ru/openforum/vsluhforumID3/12681.html#49 Fri, 11 Nov 2005 08:08:16 GMT А поконкретнее?<br><br>Не вижу тебя в логах. <br><br>Или ты бан от SNORT'а принимаешь за "не сдюжил"? https://slinkov.ru/openforum/vsluhforumID3/12681.html#48 Fri, 11 Nov 2005 06:11:41 GMT &gt;заранее благодарен <br><br>Да, не сдюжил сайт-то :)<br><br> https://slinkov.ru/openforum/vsluhforumID3/12681.html#47 Thu, 10 Nov 2005 17:09:28 GMT . https://slinkov.ru/openforum/vsluhforumID3/12681.html#46 Thu, 10 Nov 2005 15:27:00 GMT ок прошу прощение просто не понял что в новости 2 скрипта. https://slinkov.ru/openforum/vsluhforumID3/12681.html#45 Thu, 10 Nov 2005 14:15:28 GMT Еще раз говорю, мы с вами разные исходники обсуждаем, я говорю про<br>http://www.opennet.ru/dev/alertmon/apache_mon.pl<br><br>а вы про Brute Force Detection скрипт, который на http://dedic.ru/node/116 и к блокировке флуда не имеет никакого отношения. <br><br>В новости говориться о двух разных скриптах. https://slinkov.ru/openforum/vsluhforumID3/12681.html#44 Thu, 10 Nov 2005 13:37:41 GMT я ничего ничитал а взял и посмотрел исходники (не досконально его конешно пониамю, но суть того что происходит уловил, просто именно на перле никогда не писал) <br><br> Давайте будем последовательны..:<br>смотрим фаил apache<br> <br>$logfile="/hsphere/local/var/httpd/logs/error_log"; &lt; - пусть в этом чудо логи хранятся все логи того что происходит с апачем хотя судя по логики тут должны быть только еррор логи.<br><br>$checkcmd1="tail -c $diffsize $logfile &#124; grep -iwf $instdir/patterns.txt &#124; grep -i error &#124; grep -i user &#124; tr -d ':' &#124; awk '{ print \$8\":\"\$10 }' &#124; tr -d ']' &gt; $instdir/tmp/$service.tmp";<br><br>смотрим что делает это чуда строка:<br>вырезает последне добовления из этого чудного лог файла находит строчки содержащиеся в patterns.txt + строчки где есть слово user и получившихся строк выбераем ip и второй параметр ХЗ что и все это в фаил http.tmp<br><br> теперь смотрим что же у нас в файле: patterns.txt<br>failed<br>no such user found<br>failed password<br>authentication failure<br>authentication fai