Attacco w00tw00t

[viro]

Salve a tutti, ho un problema urgente.
Sto avendo attacchi dos in quanto nel mio log trovo questo:

Codice: Seleziona tutto

[Tue Nov 05 12:33:52 2013] [error] [client 5.79.85.151] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

Ora ho impostato uno script sh che mi prende gli ip e li banna, di seguito lo script che faccio girare ogni 30 minuti:

Codice: Seleziona tutto

#!/bin/sh
# add iptables drop for w00tw00t scan

for ip in `cat /var/log/apache2/error.log |grep w00tw00t | awk '{print $8}' | sed 's/]//g'  | sort -ug` ; do
                countoff=$[$countoff+1]
                countwoot=$[$countwoot+1]
                iptables -I INPUT -s $ip -j DROP
                iptables -I OUTPUT -s $ip -j DROP
        done

Ora come faccio ad ottenere un log per questo?
In pratica voglio vedere se lo script lavora correttamente.
Grazie

[Alien321]

devi usare -j LOG e poi il -j DROP cosi dentro i file di log di sistema vedi gli IP

[stonygate]

io ho risolto cosi http://server-side-story.blogspot.it/20 ... tw00t.html
il file pero è cosi

Codice: Seleziona tutto

#block w00tw00t scans of all variations
[Definition]
failregex = ^<HOST> .*GET \/w00tw00t*
ignoreregex =

[difesaparcosempione]

devi usare -j LOG e poi il -j DROP cosi dentro i file di log di sistema vedi gli IP

su 2 direttive iptables separate ?

So if you want to LOG the packets you refuse, use two separate rules with the same matching criteria, first using target LOG then DROP (or REJECT).

ciao