Hallo zusammen!

Gibt es ähnlich wie bei dnsbl für Mail sowas auch für Webserver, sodass
da IPs gelistet werden, die spammen, Attacken durchführen etc.?

Für apache gibt es in Debian testing ein Paket, was dnsbl einbindet, in
stable aber nicht.

Welche sinnvollen Lösungen existieren da?

--
Gruß
Marco

Am 02.05.24 um 09:11 schrieb Marco Moock:
> Hallo zusammen!
>
> Gibt es ähnlich wie bei dnsbl für Mail sowas auch für Webserver, sodass
> da IPs gelistet werden, die spammen, Attacken durchführen etc.?
>
> Für apache gibt es in Debian testing ein Paket, was dnsbl einbindet, in
> stable aber nicht.
>
> Welche sinnvollen Lösungen existieren da?
>

modsecurity soll wohl dafür sein.

Tim

Marco Moock <mm+usenet@dorfdsl.de> wrote:

> Gibt es ähnlich wie bei dnsbl für Mail sowas auch für Webserver, sodass
> da IPs gelistet werden, die spammen, Attacken durchführen etc.?

Ich mach das Laender IP-basiert:
Russland, Weissrussland, Tuerkei, Hongkong, China, Malaysia, Nigeria

Das reduziert schon mal gut 80% aller Angriffe.
Ich sperr fuer die aber alles, nicht bloss port 80 und 443

--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/

Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> Ich mach das Laender IP-basiert:
> Russland, Weissrussland, Tuerkei, Hongkong, China, Malaysia, Nigeria

Russland kann ich ja verstehen, die sind de facto im Krieg mit uns, aber
Türkei? Really? Gerade im deutschsprachigen Raum gibt es doch eine nicht
zu vernachlässigende türkische Community, und ich glaub die meisten
Anbieter von Webseiten können es sich nicht leisten die Türkei
auszuschließen, selbst wenn sie möchten.

/ralph

Am 02.05.2024 schrieb Ulli Horlacher <framstag@rus.uni-stuttgart.de>:

> Marco Moock <mm+usenet@dorfdsl.de> wrote:
>
> > Gibt es ähnlich wie bei dnsbl für Mail sowas auch für Webserver,
> > sodass da IPs gelistet werden, die spammen, Attacken durchführen
> > etc.?
>
> Ich mach das Laender IP-basiert:
> Russland, Weissrussland, Tuerkei, Hongkong, China, Malaysia, Nigeria

In meinem Fall weder sinnvoll noch nützlich, weil ein großer Teil vom
Scheiß aus Clouds wie Amazon kommt.

> Ich sperr fuer die aber alles, nicht bloss port 80 und 443

Hier nicht gewollt.

Am 02.05.2024 schrieb Ralph Aichinger <ralph@pi.h5.or.at>:

> Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> > Ich mach das Laender IP-basiert:
> > Russland, Weissrussland, Tuerkei, Hongkong, China, Malaysia,
> > Nigeria
>
> Russland kann ich ja verstehen, die sind de facto im Krieg mit uns,
> aber Türkei? Really? Gerade im deutschsprachigen Raum gibt es doch
> eine nicht zu vernachlässigende türkische Community, und ich glaub
> die meisten Anbieter von Webseiten können es sich nicht leisten die
> Türkei auszuschließen, selbst wenn sie möchten.

Solche Sperren sind irrsinnig, denn jeder, der nur ein klein wenig
Ahnung hat, kann den Angriff dann einfach über ein System im Ausland
durchführen - und die tolle Sperre ist wirkungslos.

Ich gehe daher lieber danach, welche IPs auffallen - die kann man
getrost sperren - ohne nennenswerten Schaden, denn legitime User sind
praktisch nie dahinter.

Am 02.05.24 um 12:30 schrieb Marco Moock:

> In meinem Fall weder sinnvoll noch nützlich, weil ein großer Teil vom
> Scheiß aus Clouds wie Amazon kommt.
Schwierig, da was zu sperren.
Ich kenne jetzt nicht deren Policy, aber du kannst da IPs minutenweise
bekommen.

AWS hat Regionen, vlt könnte man damit etwas anfangen.

Tim

Am 02.05.2024 schrieb Tim Ritberg <tim@server.invalid>:

> Am 02.05.24 um 12:30 schrieb Marco Moock:
>
> > In meinem Fall weder sinnvoll noch nützlich, weil ein großer Teil
> > vom Scheiß aus Clouds wie Amazon kommt.
> Schwierig, da was zu sperren.
> Ich kenne jetzt nicht deren Policy, aber du kannst da IPs
> minutenweise bekommen.

Auf anderen rblds werden die dann tagelang gesperrt.
Wenn das die Kunden stört, müssen die sich halt nen anderen Anbieter
suchen. Wenn nicht, ist ja alles ok.

Ralph Aichinger <ralph@pi.h5.or.at> wrote:
> Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
>> Ich mach das Laender IP-basiert:
>> Russland, Weissrussland, Tuerkei, Hongkong, China, Malaysia, Nigeria
>
> Russland kann ich ja verstehen, die sind de facto im Krieg mit uns, aber
> Türkei? Really?

Zuviele Angriffe und noch nie hat da jemand auf meine Abuse-Meldungen
reagiert.

--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/

Am 02.05.2024 schrieb Ulli Horlacher <framstag@rus.uni-stuttgart.de>:

> Ralph Aichinger <ralph@pi.h5.or.at> wrote:
> > Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> >> Ich mach das Laender IP-basiert:
> >> Russland, Weissrussland, Tuerkei, Hongkong, China, Malaysia,
> >> Nigeria
> >
> > Russland kann ich ja verstehen, die sind de facto im Krieg mit uns,
> > aber Türkei? Really?
>
> Zuviele Angriffe und noch nie hat da jemand auf meine Abuse-Meldungen
> reagiert.

Dann hoffe ich, dass Google bei dir auch gesperrt ist. :-)

Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> Zuviele Angriffe und noch nie hat da jemand auf meine Abuse-Meldungen
> reagiert.

Eine ganze Nation?

/ralph

Marco Moock, 2024-05-02 09:11:

> Gibt es ähnlich wie bei dnsbl für Mail sowas auch für Webserver, sodass
> da IPs gelistet werden, die spammen, Attacken durchführen etc.?

Denke mal ganz genau darüber nach, wieso man das nicht macht.

Eine Website sollte ohnehin so gebaut sein, dass man sie nicht
missbrauchen oder kompromittieren kann.

Und für Spam-Schutz von Kontaktformularen o.Ä. gibt es Lösungen, nein,
keine DNSBL, sondern eher Dienstleister wie <https://cleantalk.org>.

> Für apache gibt es in Debian testing ein Paket, was dnsbl einbindet, in
> stable aber nicht.
>
> Welche sinnvollen Lösungen existieren da?

Keine.

Wenn *jeder* eingehende Request gegen eine DSNBL geprüft wird, bekommst
Du ganz schnell ein massives Performanceproblem. Das mag für Server mit
maximal einigen tausend Requests pro Stunde noch akzeptabel sein, aber
stelle Dir mal vor, was bei mehr als 10 Requests pro *Sekunde* los ist.
Sollen die dann alle erstmal bei einem Nameserver aufschlagen, der dann
zurückmeldet, ob die IP-Adresse des Clients böse ist, bevor der
Webserver entscheidet, ob er das mit einem HTTP 401 o.ä. ablehnt?

--
Arno Welzel
https://arnowelzel.de

Am 02.05.2024 19:58 Uhr schrieb Arno Welzel:

> Marco Moock, 2024-05-02 09:11:
>
> > Gibt es ähnlich wie bei dnsbl für Mail sowas auch für Webserver,
> > sodass da IPs gelistet werden, die spammen, Attacken durchführen
> > etc.?
>
> Denke mal ganz genau darüber nach, wieso man das nicht macht.
>
> Eine Website sollte ohnehin so gebaut sein, dass man sie nicht
> missbrauchen oder kompromittieren kann.

Richtig, aber warum muss man solche Leute noch da arbeiten lassen und
sperrt die nicht gleich aus, gerne per Firewall.
Wir haben aktuell das Problem, dass ein Formular von Listserv
missbraucht wird, da hat nur L-Soft Einfluss drauf.
Auf den Webserver habe ich halt Einfluss.

> Und für Spam-Schutz von Kontaktformularen o.Ä. gibt es Lösungen, nein,
> keine DNSBL, sondern eher Dienstleister wie <https://cleantalk.org>.

Sowas will ich aber nicht.

> > Für apache gibt es in Debian testing ein Paket, was dnsbl
> > einbindet, in stable aber nicht.
> >
> > Welche sinnvollen Lösungen existieren da?
>
> Keine.
>
> Wenn *jeder* eingehende Request gegen eine DSNBL geprüft wird,
> bekommst Du ganz schnell ein massives Performanceproblem. Das mag für
> Server mit maximal einigen tausend Requests pro Stunde noch
> akzeptabel sein, aber stelle Dir mal vor, was bei mehr als 10
> Requests pro *Sekunde* los ist. Sollen die dann alle erstmal bei
> einem Nameserver aufschlagen, der dann zurückmeldet, ob die
> IP-Adresse des Clients böse ist, bevor der Webserver entscheidet, ob
> er das mit einem HTTP 401 o.ä. ablehnt?

Dafür gibt es Caches und so einer könnte zusätzlich auf
Webserver-Ebene existieren.
Ich sehe da technisch kein großes Problem.
Und nein, es geht nicht um einen Webserver, der 10000 Anfragen pro
Sekunde bekommt, sondern eher 1-2 IPs pro Minute.

--
Gruß
Marco

Spam und Werbung bitte an
1714672714ichwillgesperrtwerden@nirvana.admins.ws

Marco Moock schrieb:

> In meinem Fall weder sinnvoll noch nützlich, weil ein großer Teil vom
> Scheiß aus Clouds wie Amazon kommt.

Dann sperr halt die. :-)

Marco Moock <mm+usenet@dorfdsl.de> wrote:

> Gibt es ähnlich wie bei dnsbl für Mail sowas auch für Webserver, sodass
> da IPs gelistet werden, die spammen, Attacken durchführen etc.?

Ja, gibt es, aber die leiden noch schlimmer als vergleichbare Listen
für Mailserver darunter, dass damit Politik und Erpressung betrieben
wird. Da landen komplette Hoster oder Internet-Provider drauf, und
nachdem Mail schon ziemlich kaputt ist, muss man das Web nicht auch
noch zerstören, denn ohne Mail kann man vielleicht auskommen, doch
ohne Web ist Internet insgesamt praktisch sinnlos.

> Für apache gibt es in Debian testing ein Paket, was dnsbl einbindet, in
> stable aber nicht.

Ein Webserver muss sowas in gewissen Grenzen abkönnen, dort ist
(anders als vielleicht Mailserver) die Software gezielt darauf
ausgelegt, sehr viele Anfragen zu beantworten, ohne sofort in die
Knie zu gehen. Das mit dnsbl-Abfragen zu verknüpfen, könnte
unterm Strich vielleicht sogar zu mehr Performance-Problemen
führen, als Requests einfach regulär zu bedienen.

Da ist es eher sinnvoller, so was wie fail2ban zu verwenden, was
sich auf die individuellen Logfiles dieses Servers beziehen kann.

Das ist natürlich nur meine Meinung, und jeder Fall ist anders,
aber vielleicht hilft es Dir trotzdem, eine für Dich passende
Lösung für Dein Anliegen zu finden.

Grüße, Andreas

Andreas M. Kirchwitz <amk@spamfence.net> wrote:

> denn ohne Mail kann man vielleicht auskommen, doch
> ohne Web ist Internet insgesamt praktisch sinnlos.

Ich seh das genau andersrum.

> Da ist es eher sinnvoller, so was wie fail2ban zu verwenden, was
> sich auf die individuellen Logfiles dieses Servers beziehen kann.

fail2ban ist mir zu unflexibel und zu fehlerhaft.
Ich hab was selbstgeschriebenes, was auf bestimmte pattern im apache-log
die betreffende ip-Adresse via iptables sperrt.

--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/

Am 03.05.24 um 09:22 schrieb Ulli Horlacher:

> fail2ban ist mir zu unflexibel und zu fehlerhaft.
> Ich hab was selbstgeschriebenes, was auf bestimmte pattern im apache-log
> die betreffende ip-Adresse via iptables sperrt.

Das gleiche habe ich für Mail.
Ich bin ja ein Fan von sqlite, so kann ich noch mehr Daten erfassen und
einfach ein expire für Blacklisten bauen.

Tim

On Thu, 02 May 2024 20:15:06 Marco Moock wrote:
> Am 02.05.2024 19:58 Uhr schrieb Arno Welzel:
>> Eine Website sollte ohnehin so gebaut sein, dass man sie nicht
>> missbrauchen oder kompromittieren kann.

> Richtig, aber warum muss man solche Leute noch da arbeiten lassen
> und sperrt die nicht gleich aus, gerne per Firewall.

Es nützt halt nichts, IMO. Die überwältigende Anzahl der Angriffe
ist standardisiert und kommt von (+/-) überall her. Sperrt man
exotische Länder aus, bleibt immer noch der Rest - und wenn es einer
von den Exoten in den Server geschafft hätte, wird es auch einer vom
Rest schaffen.

Eine minimale Anzahl an Angriffen geht gezielt gegen den jeweiligen
Server vor - ich halte mich nicht für wichtig genug, dass mir das
passieren wird, aber was weiss man schon. *Die* Leute haben dann
aber auch zu viele, hinreichend gestreute IP-Adressen, als dass
solche Blacklisten irgendwie helfen könnten.

IdR läuft bei mir fail2ban, das nach einer hinreichenden Anzahl an
Fehlern die IP-Adresse in eine sich selbst verlängernde Blacklist
packt. Das ist zwar, siehe oben, auch kein echter Sicherheitsgewinn,
aber es hält immerhin die Logfiles überschaubar.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Geht nicht!? Geht doch: Stefan, denn alles ist ranker, als schlank.
(Sloganizer)

On Fri, 03 May 2024 01:59:04 Andreas M. Kirchwitz wrote:
> Marco Moock <mm+usenet@dorfdsl.de> wrote:
>> Gibt es ähnlich wie bei dnsbl für Mail sowas auch für Webserver,
>> sodass da IPs gelistet werden, die spammen, Attacken durchführen
>> etc.?

> Ein Webserver muss sowas in gewissen Grenzen abkönnen, dort ist
> (anders als vielleicht Mailserver) die Software gezielt darauf
> ausgelegt, sehr viele Anfragen zu beantworten, ohne sofort in die
> Knie zu gehen.

Auch einen Mailserver kann man ohne weiteres so auslegen, dass er
mit allem, was da eintrudelt, auch fertig wird. Die Existenz von
Blacklists wird dort doch (eigentlich ausschließlich) dadurch
gerechtfertigt, dass am Ende einfache User sitzen, die oder deren
Arbeitgeber wahlweise durch Spam belästigt oder durch Phishing et al
geschädigt werden. Beim Webserver passiert halt nichts dergleichen.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Gram und doch sanft?! Stefan - immerzu.
(Sloganizer)

On Fri, 03 May 2024 09:22:06 Ulli Horlacher wrote:
>> Da ist es eher sinnvoller, so was wie fail2ban zu verwenden, was
>> sich auf die individuellen Logfiles dieses Servers beziehen kann.

> fail2ban ist mir zu unflexibel und zu fehlerhaft.
> Ich hab was selbstgeschriebenes, was auf bestimmte pattern im
> apache-log die betreffende ip-Adresse via iptables sperrt.

Das schließt sich ja gegenseitig nicht aus. Ich habe mir ein paar
fail2ban-Actions selber geschrieben, die auf bestimmte Pattern im
apache-log matchen und dan über eine ebenfalls selbstgeschriebene
Action die betreffende IP-Adresse in der nftable sperren.

Hat den Vorteil, dass sich "selbstgeschrieben" auf die Konfiguration
beschränkt und den Rest die Maintainer von fail2ban für mich
pflegen.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan - tüfteln!? Aber werkeln ist reiner.
(Sloganizer)

Am 03.05.2024 schrieb Stefan+Usenet@Froehlich.Priv.at (Stefan
Froehlich):

> Auch einen Mailserver kann man ohne weiteres so auslegen, dass er
> mit allem, was da eintrudelt, auch fertig wird. Die Existenz von
> Blacklists wird dort doch (eigentlich ausschließlich) dadurch
> gerechtfertigt, dass am Ende einfache User sitzen, die oder deren
> Arbeitgeber wahlweise durch Spam belästigt oder durch Phishing et al
> geschädigt werden. Beim Webserver passiert halt nichts dergleichen.

Doch, wenn es da Formulare gibt.

On Fri, 03 May 2024 11:04:25 Marco Moock wrote:
> Am 03.05.2024 schrieb Stefan+Usenet@Froehlich.Priv.at (Stefan
> Froehlich):
>> Auch einen Mailserver kann man ohne weiteres so auslegen, dass er
>> mit allem, was da eintrudelt, auch fertig wird. Die Existenz von
>> Blacklists wird dort doch (eigentlich ausschließlich) dadurch
>> gerechtfertigt, dass am Ende einfache User sitzen, die oder deren
>> Arbeitgeber wahlweise durch Spam belästigt oder durch Phishing et
>> al geschädigt werden. Beim Webserver passiert halt nichts
>> dergleichen.

> Doch, wenn es da Formulare gibt.

Damit wird aber nicht ein User hinter dem Webserver belästig,
sondern irgendjemand anderer auf der Welt hinter einem Mailserver
:-)

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Welch strammer Gedanke: Stefan!
(Sloganizer)

Stefan Froehlich schrieb:

> On Fri, 03 May 2024 11:04:25 Marco Moock wrote:
>> Doch, wenn es da Formulare gibt.
>
> Damit wird aber nicht ein User hinter dem Webserver belästig,
> sondern irgendjemand anderer auf der Welt hinter einem Mailserver

Das hängt davon ab, was das für Formulare sind. Daraus müssen nicht Mails
erzeugt werden, es kämen bspw. auch Dateien oder Datenbankeinträge in
Betracht.

Am 02.05.2024 23:59 Uhr schrieb Andreas M. Kirchwitz:

> Ja, gibt es, aber die leiden noch schlimmer als vergleichbare Listen
> für Mailserver darunter, dass damit Politik und Erpressung betrieben
> wird. Da landen komplette Hoster oder Internet-Provider drauf,

Weil die Spammer oder andere Abuser halt längere Zeit online lassen.
Das stinkt andere gewaltig und daher sind dann ganze Adressbereiche auf
solchen Listen. Bei uceprotect wird das Verfahren klar erläutert und wer
das nicht will, darf halt diese Listen (Level 2+3) nicht nutzen, sondern
nur die, die die tatsächlichen Spammer-IPs enthalten.

> und nachdem Mail schon ziemlich kaputt ist, muss man das Web nicht
> auch noch zerstören, denn ohne Mail kann man vielleicht auskommen,
> doch ohne Web ist Internet insgesamt praktisch sinnlos.

Das ist es schon, sowas bietet nämlich Cloudflare an. Versuche da mal,
eine Website über TOR aufzurufen. Mindestens mit einem Captcha wird man
genervt.

--
Gruß
Marco

Spam und Werbung bitte an
1714687144ichwillgesperrtwerden@nirvana.admins.ws

Am 03.05.2024 22:19 Uhr schrieb Arno Welzel:

> Dass ausgerechnet ein Listserv-Formular-Missbraucher in einer
> DNS-Blacklist auftaucht, halt ich für eher unwahrscheinlich. Dort
> landen ja *Server*, die mit den Versand von Spam per E-Mail auffallen
> und nicht Angreifer auf Websites.

Solche Listen können aber ebenso für Website-Angreifer existieren.
Mit blocklist.de scheint es sowas auch zu geben.

--
Gruß
Marco

Spam und Werbung bitte an
1714767582ichwillgesperrtwerden@nirvana.admins.ws