cpanel + mod_evasive + неприятная особенность

Romka_Kharkov · 2013-07-26T08:38:27.0000000Z

День добрый, В процессе очередного исследования вчера, обнаружил весьма интересную особенность. Попытался использовать mod_evasive в комплекте с cPanel, все собралось, все подключилось все настроилось, но появился интересный симптом, изначально моим желанием было забанить нарушителя на 2-3 часа... такие параметры и натравил на evasive, но решил банить не путем самого evasive, а вывел ему CMD в отдельный файлик который сочиняет правило в iptables. Что же получается: 1. Приходит на сайт тот, кто сильно много смотрит и надо бы его забанить :D 2. Его банит, при этом создавая правило в iptables + /tmp/dos-$ip файлик. 3. Приходит CSF и рестартит файрвол (еще не проходит то время когла нарушителя надо разбанить) и естественно сносит правило которое блокирует. Все бы ничего, но в этом положении дел mod_evasive перестает банить до тех пор пока в наличии есть файлик /tmp/dos-$ip.... т.е по факту зловред продолжает добить апач, а реакции от Evasive на CMD уже не передается...... только сношу /tmp/dos-$ip моментально срабатывает CMD и заносится все в файрвол :) Такие вот дела смутные ;) ---------- Добавлено 26.07.2013 в 12:07 ---------- Так же , при том что: DOSBlockingPeriod 30 Почему-то наблюдается следующее: # date Fri Jul 26 05:05:50 EDT 2013 # ls -all /tmp/|grep -i dos -rw-r--r-- 1 nobody nobody 6 Jul 25 23:51 dos-107.20.173.101 -rw-r--r-- 1 nobody nobody 6 Jul 25 20:59 dos-107.22.86.46 -rw-r--r-- 1 nobody nobody 5 Jul 26 00:00 dos-113.0.83.196 -rw-r--r-- 1 nobody nobody 6 Jul 25 23:39 dos-192.111.153.142 -rw-r--r-- 1 nobody nobody 6 Jul 25 23:39 dos-192.198.86.230 -rw-r--r-- 1 nobody nobody 6 Jul 25 23:30 dos-50.19.127.123 -rw-r--r-- 1 nobody nobody 6 Jul 26 01:40 dos-54.227.54.190 -rw-r--r-- 1 nobody nobody 6 Jul 25 21:43 dos-66.249.73.157 С момента создания файлов до текущего времени прошло явно > 30 минут, почему Evasive до сих пор держит эти файлы, или он просто забыл про них ? это теперь те , кто залочены перманентно ? :) :) :)

137

iHead

27 июля 2013, 09:18

#11

при наличии nginx этот модуль интересен разве что от брутофорсов и то, как описали в комментариях на сайте разработчика, он вызовет ложные срабатывания на пользователей за нат.

Рекомендуемый хостинг партнер 1С-Битрикс (https://www.ihead.ru/bitrix/), PHP-хостинг (https://www.ihead.ru/php/), доверенный партнер RU-CENTER (https://www.ihead.ru/news/573.html), официальный представитель REG.RU в Кирове (https://www.ihead.ru/news/851.html)

485

Romka_Kharkov

27 июля 2013, 15:15

#12

Glueon:
Да, не обратил внимания ... Если это убрать или переместить этот кусок - непонятно будет заблокирован ли уже IP или нет. Я так понимаю это сделано именно из этих побуждений :)
Меняем log_dir на root-only доступную директорию и все будет нормально. Не пойдет разве?

Если у вас апач от рута, то пойдет :D Везде конечно по разному, меня пока успокаивает suPHP, стало быть можно "вычленить" виртуалхосты от "nobody", но есть же и установки когда все виртуальные хосты это nobody.... тогда предоставив возможность читать\писать в эту директорию апачу (для модуля) автоматически выдаем эту же возможность всем владельцам vhosts....

---------- Добавлено 27.07.2013 в 18:15 ----------

iHead:
при наличии nginx этот модуль интересен разве что от брутофорсов и то, как описали в комментариях на сайте разработчика, он вызовет ложные срабатывания на пользователей за нат.

Да я в общем-то не стараюсь взять его за эталон, ровно как вы и сказали от мелкой атаки решил поотбиваться, тупо долбят по 2-3 ИП в сутки разные, решил немного автоматизировать, и вот.... ;)))

Видать придется старый добрый fail2ban с цепи спускать ;)

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)

SEO: почему мы делаем Как выбрать хостинг: часто Булат Каримов: «Создавая остров,

172

Glueon

27 июля 2013, 18:48

#13

Romka_Kharkov:
Если у вас апач от рута, то пойдет :D Везде конечно по разному, меня пока успокаивает suPHP, стало быть можно "вычленить" виртуалхосты от "nobody", но есть же и установки когда все виртуальные хосты это nobody.... тогда предоставив возможность читать\писать в эту директорию апачу (для модуля) автоматически выдаем эту же возможность всем владельцам vhosts....

---------- Добавлено 27.07.2013 в 18:15 ----------

Да я в общем-то не стараюсь взять его за эталон, ровно как вы и сказали от мелкой атаки решил поотбиваться, тупо долбят по 2-3 ИП в сутки разные, решил немного автоматизировать, и вот.... ;)))
Видать придется старый добрый fail2ban с цепи спускать ;)

My bad. Я думал основной процесс работает от root, а fork'и от www-data.

Ну, шо. Тут можно посоветовать selinux правило наковырять какое-нибудь :) либо уйти нафиг от этих файлов и хранить в каком-нибудь memcache данные.

Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).

Права на запись. Как Хостерам. Аудит безопасности. Проблема обновления WP

485

Romka_Kharkov

28 июля 2013, 08:26

#14

Glueon:
My bad. Я думал основной процесс работает от root, а fork'и от www-data.
Ну, шо. Тут можно посоветовать selinux правило наковырять какое-нибудь :) либо уйти нафиг от этих файлов и хранить в каком-нибудь memcache данные.

Надо просто забыть про mod_evasive ;))) Я такой вывод сделал :D

172

Glueon

28 июля 2013, 16:56

#15

Что на замену? nginx limit_zone?

485

Romka_Kharkov

28 июля 2013, 17:13

#16

Glueon:
Что на замену? nginx limit_zone?

В моем случае пошел fail2ban, выглядит все значительно лучше :D

Open AI тестирует память для ChatGPT

Все что нужно знать о DDоS-атаках грамотному менеджеру