[FUG-BR] RES: RES: apache
Gilliatt Borges Bastos [ Atrium SP Consultores ]
gilliatt em atriumsp.com.br
Segunda Junho 30 14:59:11 BRT 2008
Eu recomendo a você o Snortsam.
Tudo são possibilidades de como vc pode resolver seu problema. Teste e
escolha a opção que pode atender suas necessidades =)
http://global-security.blogspot.com/2008/04/block-bad-oss-ips-with-content.h
tml
Gilliatt Borges Bastos
Atrium São Paulo Consultores
www.atriumsp.com.br
Fone: 55 11 3049-1175
skype: gilliattbastos
Msn: gilliatt em unsigned.eti.br
P Antes de imprimir pense em seu compromisso com o Meio Ambiente e o
comprometimento com os Custos
As informações existentes nessa mensagem e nos arquivos anexados são para
uso restrito, sendo seu sigilo protegido por lei. Caso não seja
destinatário, saiba que leitura, divulgação ou cópia são proibidas. Favor
apagar as informações e notificar o remetente. O uso impróprio será tratado
conforme as normas da empresa e a legislação em vigor.
The information contained in this message and in the attached files are
restricted, and its confidentiality protected by law. In case you are not
the addressee, be aware that the reading, spreading and copy of this message
is unauthorized. Please, delete this message and notify the sender. The
improper use of this information will be treated according the company's
internal rules and legal laws.
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
> de Jorge Petry
> Enviada em: segunda-feira, 30 de junho de 2008 11:45
> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> Assunto: Re: [FUG-BR] RES: apache
>
> Cara, coloca o pf pra rodar e coloca essa regra junto.
>
> tcp_services = "{80}"
>
> table <bruteforce> persist
> block log quick from <bruteforce>
> pass inet proto tcp from any to $ext_if port $tcp_services flags S/SA
> synproxy state (max-src-conn 100, max-src-conn-rate 15/5, overload
> <bruteforce> flush global)
>
>
> Depois vc verifica com o comando "pfctl -t bruteforce -R sh" pra ver se
> tem alguma coisa na tabela de bloqueados.
>
> Para verificar o que o firewall esta bloqueando e logando roda o comando
> "tcpdump -e -n -ttt -i pflog0"
>
> Depois manda noticias ai.
>
> Abraço.
>
>
>
> _________________________________________
> * *Jorge Petry Neto *
> *Administrador de Redes e Servidores
> (48) 8401-4436
> jorge em jspnet.com.br <mailto:jorge em jspnet.com.br>*
> **www.jspnet.com.br * <http://www.jspnet.com.br/>
>
>
> Augusto Ferronato escreveu:
> > Tem como Snort + PF ??
> >
> > Já vi Snort + IPTABLES e foi ralado pra configurar!
> >
> > Abs[]
> >
> > 2008/6/30 Gilliatt Borges Bastos [ Atrium SP Consultores ] <
> > gilliatt em atriumsp.com.br>:
> >
> >
> >> Antonio Carlos,
> >>
> >> Eu acho a melhor opção nesses casos é utilizar um IDS, como o Snort,
> para
> >> identificar e criar uma regra dinâmica no seu firewall bloqueando o
> >> atacante.
> >>
> >> Gilliatt Borges Bastos
> >> Atrium São Paulo Consultores
> >> www.atriumsp.com.br
> >> Fone: 55 11 3049-1175
> >> skype: gilliattbastos
> >> Msn: gilliatt em unsigned.eti.br
> >>
> >> P Antes de imprimir pense em seu compromisso com o Meio Ambiente e o
> >> comprometimento com os Custos
> >>
> >> As informações existentes nessa mensagem e nos arquivos anexados são
> para
> >> uso restrito, sendo seu sigilo protegido por lei. Caso não seja
> >> destinatário, saiba que leitura, divulgação ou cópia são proibidas.
> Favor
> >> apagar as informações e notificar o remetente. O uso impróprio será
> tratado
> >> conforme as normas da empresa e a legislação em vigor.
> >>
> >> The information contained in this message and in the attached files are
> >> restricted, and its confidentiality protected by law. In case you are
> not
> >> the addressee, be aware that the reading, spreading and copy of this
> >> message
> >> is unauthorized. Please, delete this message and notify the sender. The
> >> improper use of this information will be treated according the
> company's
> >> internal rules and legal laws.
> >>
> >>
> >>> -----Mensagem original-----
> >>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> >>>
> >> nome
> >>
> >>> de Jorge Petry
> >>> Enviada em: segunda-feira, 30 de junho de 2008 11:16
> >>> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> >>> Assunto: Re: [FUG-BR] apache
> >>>
> >>> qual firewall vc usa???
> >>> Antonio Carlos da Rocha Jr escreveu:
> >>>
> >>> Bom dia lista, tudo bem colegas, estou tendo problema com ataques no
> >>> apache, quase todo dia estou sofrendo ataques no servidor web da
> >>> empresa, gostaria de saber se tem algum jeito de bloquear o ip do
> >>> atacante ... algo que depois de 5 requisicoes ele bloqueace o ip por
> >>> uma 30 hora ...
> >>>
> >>>
> >>> Antono Carlos
> >>>
> >>> -------------------------
> >>> Histórico: [1]http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>>
> >>> --
> >>>
> >>> _________________________________________
> >>> Jorge Petry Neto
> >>> Administrador de Redes e Servidores
> >>> (48) 8401-4436
> >>> [3]jorge em jspnet.com.br
> >>> [4]www.jspnet.com.br
> >>>
> >>> References
> >>>
> >>> 1. http://www.fug.com.br/historico/html/freebsd/
> >>> 2. https://www.fug.com.br/mailman/listinfo/freebsd
> >>> 3. mailto:jorge em jspnet.com.br
> >>> 4. http://www.jspnet.com.br/
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> >
> >
> >
> >
>
> --
>
>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd