[Eisfair] BFB und apple-touch-icon

Olaf Jaehrling eisfair at ojaehrling.de
Mi Dez 7 22:28:26 CET 2016 

Hallo Marcus,

Marcus Roeckrath schrieb am 07.12.2016 um 20:38:

> 
> Eine Massenrequest aus einem Firmennetz heraus auf eine per BfB geschützte
> Webseite und die ist für alle PCs nicht mehr erreichbar.

Ja, das wäre richtig. Deshalb muss der Admin ja auch die Logfiles
regelmäßig überprüfen. Damit kann er das verhindern.

Wenn jemand eine Website blocke will, kann er das immer. Das muss nicht
mit Anfragen auf nicht vorhandenen Dateien sein, einfache Massen-SYN
reichen aus und den Webserver lahm zu legen. Auch einfach mal 5-6
ssh-Versuche und schon blocken fast alle gängigen Programme (z.B.
fail2ban) und firewalls die komplette Sourceaddresse. Es muss also nicht
BFB-geschützt sein.

> 
> Dafür zu sorgen, dass keine gefährlichen Skripte usw. auf dem Webserver
> sind, hat IMHO der Betreiber zu sorgen.

So einfach würde ich es mir da nicht machen. Es gibt so viele
Webanwendungen, welche auf php aufbauen und im laufe der Zeit immer
wieder security-updates bereitstellen. Kein Admin der Welt schafft es
alles mailinglisten zu seinen Anwendungen tagesaktuell zu lesen. Selbst
wenn, es ist ja nicht die Aufgabe von BFB unsichere Programme zu
überwachen,sondern den scan nach unsicheren Programmen. Du nutzt
php-myadmin ...
41.207.44.171.telma.mg - - [06/Dec/2016:22:03:08 +0100] "GET
/phpmyadmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu" 172 394

Solche Einträge finde ich en mas in meinen Logfiles. Da ich es nicht
verwende ist mir das egal, der "Scanner" wird aber von BFB erkannt und
geblockt. Somit kann er keine weiteren Dummheiten mehr machen.


> 
> Eine mögliche Liste nicht zu bemängelnder Anfragen kann ja vom
> Webseiten-Betreiber manuell gepflegt werden, müsste nicht im BfB-Paket
> vorhanden sein.

Dann kann er die Dateien auch anlegen. Wenn BFB bei jedem Durchlauf erst
in ein file mit Ausnahmen gucken muss, wird es nur sinnloserweise
langsamer und die Erkennungsrate sinkt. Wenn ich manche sricpte sehe,
die innerhalb von 1 Sekunde 20 und mehr SSH-Anfragen an den
Serverschicken, da kommt es mir auf jede Sekunde an. Diese Scripte
fragen auch genauso schnell den webserver ab in der Hoffnung ein file zu
finden mit dem man den Server kapern kann. Selbst wenn er noch vor dem
Kapern geblockt wird, so weiß er doch, dass diese Datei vorhanden ist
und braucht später sich nur noch auf diese Datei zu konzentrieren. Also,
um so eher eine Attacke erkannt wird um so sicherer ist es.

> 
> Just my 2ct.

Den Satz mag ich nicht :) Ich sehe da immer die Filme in denen der Nutte
das Geld hingeworfen wird mit dem Satz "hast es Dir verdient und nun
verschwinde".
Auch wenn das in wirklichkeit nur aus der Bibel abgeleitet ist.
"But a poor widow came and put in two very small copper coins, worth
only a few cents"
(https://www.biblegateway.com/passage/?search=Mark%2012%3A42-44)


>

Mehr Informationen über die Mailingliste Eisfair