Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

A enchurrada de Web scanners disponíveis na internet e o infeliz do ZmEu bot acabam tornando a vida dos nossos servidores Web um inferno.

Geralmente o Apache responde a estas tentativas com sucessivos error 400 ( Bad Request ). Para acabar com essa apurrinhação podemos bloqueá-las usando o Ossec HIDS.

Exemplo de um log do ZmEu bot

82.145.xx.xx – – [13/Aug/2010:07:19:36 -0300] “GET /phpadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:35 -0300] “GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 198 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:35 -0300] “GET /mysqladmin/scripts/setup.php HTTP/1.1″ 404 194 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:34 -0300] “GET /myadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:33 -0300] “GET /dbadmin/scripts/setup.php HTTP/1.1″ 404 191 “-” “ZmEu”
82.145.xx.xx – – [13/Aug/2010:07:19:33 -0300] “GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 196 “-” “ZmEu”

Para isso adicione as linhas abaixo dentro da tag Active Response Config localizada no arquivo /var/ossec/etc/ossec.conf

1
2
3
4
5
6
7
8
<!– Active response to block http scanning –>

    <active-response>
        <command>route-null</command>
        <location>local</location>

    <!– Multiple web server 400 error codes from same source IP –>
        <rules_id>31151</rules_id>
        <timeout>600</timeout>

    </active-response>

A configuração acima executará o script route-null sempre que a regra 31151 em web_rules.xml for detectada bloqueando o atacante por 10 min ( 600s ), isto significa que ocorrendo vários erros 400 no log do Apache o ip de origem será bloqueado por 10 min.

Fonte:

ITSC Blog

Author: alexos

Comments

  1. LoL valeu por postar esta dica ja estava achando que os “GET” do logs eram tentaivas de baixar um script pro server, por um xploit ou algo assim… ufa menos mal…

    vlws

Comments are closed.