パソコン鳥のブログ

アクセスカウンタ

zoom RSS apacheユーザ認証(HTTP認証)への総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処

<<   作成日時 : 2013/11/26 22:23   >>

トラックバック 2 / コメント 0

IDやパスワードを変えて何度も接続を試みる総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処として、これまで下記を紹介しました。

SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果
メールサーバへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処

apacheのユーザ認証(HTTP認証)を設定している場合も、sshやメールサーバと同様に辞書攻撃を受ける恐れがあります。
そこで、SSHGuard を利用した対処方法を紹介します。
以下ではその設定を説明します。なお、対象は CentOS6 + apache です。

なお、apacheのユーザ認証(HTTP認証)の設定方法については、こちらを参照して下さい。

設定


先に、SSHGuard をインストール・設定しておく必要があります。インストール・設定については、 SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果 を参照してください。

以下は root で作業します。

perlを使います。無い場合は、下記でインストールします。

yum install perl


次のファイルを作成します。
メールサーバへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処の記事で、既に下記ファイルを作成している場合は、下記のものに内容を置き換えてください。
下記内容でメールサーバへの対処も同時に行えます。
/usr/local/sbin/log2sshguardsig.pl

#! /usr/bin/perl

use IO::Handle;

STDOUT->autoflush(1);

while( 1 ){

    $line = <STDIN>;

    if( $line =~ /authentication failure; .+ruser=(.+?) rhost=([0-9\.]+)[\r\n\s]/ ){
        # dovecot2.0
        $user = $1;
        $ip = $2;
        print "Invalid user $user from $ip\n";
    }elsif( $line =~ /Aborted login: user=<(.+?)>, method=PLAIN, rip=(.+?),/ ){
        # dovecot1.0
        $user = $1;
        $ip = $2;
        print "Invalid user $user from $ip\n";
    }elsif( $line =~ /([0-9\.]+) \- (.+?) .+? "GET.+?HTTP.+?" 401/ ){
        # apache basic/digest認証
        $user = $2;
        $ip = $1;
        print "Invalid user $user from $ip\n";
    }else{
        print "$line";
    }

}


rc.localは以下のように変更します。
/etc/rc.local

    /usr/bin/tail -n0 -F /var/log/secure /var/log/httpd/access_log /var/log/httpd/ssl_access_log | /usr/bin/perl /usr/local/sbin/log2sshguardsig.pl | /usr/local/sbin/sshguard -l - >/dev/null 2>&1 &


apacheのユーザ認証時のエラーログを、SSHGuard が認識する形式に変換して、SSHGuardに渡します。
これで、sshへの攻撃と同様に、apacheのユーザ認証への攻撃に対しても SSHGuard が反応します。

なお、iptablesへの設定変更は必要ありません。
SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果に従ったインストール・設定のままで対応できます。


参考


Apacheのbasic認証とdigest認証
SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果
メールサーバへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処
iptablesサンプル

テーマ

関連テーマ 一覧


月別リンク

トラックバック(2件)

タイトル (本文) ブログ名/日時
SSHGuard使用時の iptables再起動の注意点と、SSHGuard起動・停止スクリプト
以下で紹介した SSHGuard使用時の iptables再起動の注意点です。 また、SSHGuard起動・停止スクリプトを作りましたので、紹介します。 ...続きを見る
パソコン鳥のブログ
2014/01/28 22:33
sshへの攻撃を防ぐSSHGuard のインストール・設定用スクリプト
これまで sshへの攻撃を防ぐ SSHGuardについて下記記事で紹介してきましたが、これらの設定を行うスクリプトファイルを用意しました。 なお、スクリプトは CentOS用です。 ...続きを見る
パソコン鳥のブログ
2014/06/22 14:06

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
apacheユーザ認証(HTTP認証)への総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処 パソコン鳥のブログ/BIGLOBEウェブリブログ
文字サイズ:       閉じる