# Massives DoS-Problem



## Falcon37 (1. Dez. 2009)

Hey,

habe in letzter Zeit ein ziemlich massives DoS Problem, anscheinend habe ich den DoS Schutz nicht richtig installiert. Server ist nach diesem Setup installiert. Würde auf nginx oder irgendwas "leichtes" umsteigen, aber das ist ja auch nicht so einfach...

Kennt wer ein funktionierendes, nicht veraltetes oder nicht funktionierendes Tutorial oder so was in der Art dafür was Abhilfe schafft?

Danke.


----------



## Till (2. Dez. 2009)

DOS auf welchen Dienst? Ein DOS Schutz wird in dem Tutorial auch gernicht installiert, das Tutorial enthält nur fail2ban und das ist gegen brute force Passwort attacken und nicht DOS. Gegen DOS Attachen nutzt man normalerweise eine spezialisierte Firewall vor dem Server.


----------



## Falcon37 (2. Dez. 2009)

Nur auf Apache. Das mit dem Link zum Tut habe ich unglücklich ausgedrückt, meinte damit das der Server nach diesem Tutorial "im Grunde" installiert ist.

Momentan versuchte ich mehr oder weniger erfolgreich die Attacken mit IP Tables zu sperren, ging auch eine Zeit lang gut aber jetzt wechseln die IP Adressen ständig da kann ich manuell kaum noch was ausrichten.

Hab gehört das mod_security und mod_evasive ganz gut zur Abwehr für Apache sind, aber richtig installiert habe ich die wohl nicht (habe versucht selber zU kompilieren - wie es scheint ohne Erfolg).


----------



## Till (2. Dez. 2009)

mod_evasive gibt es auch in den repositorys, kannst Du einfach installieren mit:

apt-get install libapache2-mod-evasive


----------



## Falcon37 (2. Dez. 2009)

Zitat von Till:


> apt-get install libapache2-mod-evasive


ah okay danke. 

jetzt habe ich nur noch ein kleines Problem mit der Konfiguration, und zwar check ich nicht ganz wo jetzt die Konfigurationsdatei ist, da sagen diverse Quellen verschiedenes, habe bis jetzt folgende Orte versucht:

/etc/apache2/mods-available/evasive.conf
/etc/apache2/mods-available/evasive.load
/etc/apache2/apache2.conf
/etc/apache2/mod_evasive.conf

Jede Datei enthält:


```
<IfModule mod_evasive20.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10
</IfModule>
```
Apache wurde erfolgreich neu geladen und anscheinend ist das Modul auch aktiviert.
Allerdings sagt mir der Funktionscheck mit der test.pl auch nach 40 mal aufrufen dies:

```
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
```
*Vielleicht jemand eine Idee wo das korrekte File ist oder was ich falsch mache*






Thx


----------



## Till (3. Dez. 2009)

Ist dieses test.pl file ein offizieller Test des Projektes? Rufst Du den von einem externen Server aus auf, kann ja sein dass er localhost nicht als Gefahr ansieht.


----------



## Falcon37 (3. Dez. 2009)

Zitat von Till:


> Ist dieses test.pl file ein offizieller Test des Projektes


Ja gehört zum Paket. Habe auf novell.com gelesen das man das als root ausführen soll bzw. hat der das im Beispiel.


----------



## Quest (4. Dez. 2009)

Hast du den Mod auch per a2enmod aktiviert?


----------



## Falcon37 (4. Dez. 2009)

Zitat von Quest:


> Hast du den Mod auch per a2enmod aktiviert?


Ja habe ich.


----------



## Falcon37 (4. Dez. 2009)

Endlich den Fehler gefunden. 

mod-evasive wurde, warum auch immer, nicht korrekt installiert!
Einfach alle Konfigurations-Dateien gelöscht und den mod mit *apt-get install --reinstall libapache2-mod-evasive* neu installiert.

Die korrekte Datei für die Einstellungen ist _/etc/apache2/mods-available/mod-evasive.load_.

Auf die test.pl kann man bei "hetiger" Konfiguration verzichten, einfach mit STRG + R Seite sehr schnell neu laden es sollte "404 Forbidden" kommen, geht aber bei einer er laschen Konfiguration ggf. nicht.

Nach jeder Änderung Apache neu laden....


----------

