Door
Ozzie PHP
op 13-05-2016 17:02
gewijzigd op 13-05-2016 17:05
1.902 views
Wanneer wordt apache-auth eigenlijk gebruikt? Wordt dat gebruikt om je aan te melden via zo'n standaard pop-up boxje?
En zo ja ... als ik zelf op mijn server deze manier van aanmelden niet gebruik (omdat ik een eigen formulier gebruik), kan ik dan zonder problemen iedereen blokkeren die op deze manier (dus via apache-auth) probeert verbinding te maken met mijn server?
Apache-auth is niet heel bijzonder, het enige dat het doet is je een mogelijkheid geven om via de apache configuratie basic / digest authenticatie te gebruiken, met ondersteuning van verschillende backends zoals file en ldap. Wat zou de meerwaarde zijn om URL's op authenticatie inhoud te controleren? Het doet verder toch niks als je het niet gebruikt.
>> Wat zou de meerwaarde zijn om URL's op authenticatie inhoud te controleren? Het doet verder toch niks als je het niet gebruikt.
Nou, als hackers/bots proberen op zich aan te melden dan lijkt het me handig als ik ze blokkeer zodat m'n logs niet onnodig vollopen met duizenden regels aan rotzooi.
Maar de vraag is dus of ik dat dan kan blokkeren als ik niet zo'n aanmeldboxje gebruik, of wordt het nog ergens anders voor gebruikt?
Het wordt nergens ander voor gebruikt, het is puur voor directory aanmelding. Je kunt de module dus gerust uitzetten. Maar blokkeren is een iets lastiger verhaal als het al mogelijk is.
Ik zal even uitleggen wat ik bedoel. Ik heb een programmaatje geïnstalleerd dat je wellicht wel kent (Fail2Ban). Dat programma scant logs op illegale inlogpogingen. Als iemand zich probeert te authenticeren, dan weet ik dus nu al dat het een illegale poging is, omdat ik die service niet gebruik. Als ik er niks tegen doe, dan kan een hacker/bot zich met tientallen verschillende namen proberen aan te melden. Als ik nu tegen dat programmaatje zeg dat iemand het maar 1x mag proberen, dan is het dus direct einde verhaal als iemand zich op die manier probeert aan te melden. Snap je wat ik bedoel?
Ik snap wat je bedoelt, het nut ervan ontgaat me alleen. Het zou voor bots niet logisch zijn om op willekeurige url's basic authentication te proberen, dat volgt eigenlijk pas nadat er een header gestuurd wordt door de server dat dat nodig zou zijn. Blokkeren kun je gerust doen, maar ik vermoed niet dat je er ooit een hit op gaat krijgen.
Is het ook niet mogelijk dan om "blind" proberen in te loggen? Stel zo'n bot weet bijv. dat een bepaalde cms een login vereist. Kan zo'n bot daar dan niet direct 'op de gok' op proberen in te loggen denk je?
In theorie wel, maar waarom zou een bot zoiets doen? Je zult immers ook feedback moeten hebben of die login ook lukt, anders probeer je niet in te loggen. Wanneer je er blind in duikt heb je helemaal geen feedback over of wat je doet uberhaupt zin heeft.
Tja, daar heb je een punt, maar als ik mijn serverlog bekijk dan gaan ze gewoon als een dolle stier te werk en proberen ze gewoon zo veel mogelijk shit uit. Is echt niet normaal.
Tja, daar heb je een punt, maar als ik mijn serverlog bekijk dan gaan ze gewoon als een dolle stier te werk en proberen ze gewoon zo veel mogelijk shit uit. Is echt niet normaal.
Klopt inderdaad en dat gebeurt op alle websites en en het blijft gebeuren, je kan het niet tegengaan, het zijn bots die 24x7 lopen. Energie steken en systeempjes bouwen die ip's blocken en toevoegen aan iptables is water naar de zee dragen. Zonde van je tijd. Het zijn onder andere ook virale bots die draaien op peecees van geinfecteerde gebruikers. Steeds andere ip's dus. Ik gebruik Logwatch voor alle internetdeamons en email dagelijks de inhoud naar mezelf. Soms kijk ik er wel eens in. https://wiki.archlinux.org/index.php/Logwatch
Toch is het best wel kl@te ... wat je wil is zo goed mogelijk een server inrichten en die server schoon houden, maar ondertussen wordt ie door een paar sukkels continu 24 uur per dag vervuild. Niet leuk :(
