问题标签 [mod-evasive]

我很惊讶地看到 Facebook 有一段时间没有抓取我的网站并且调试显示错误

为什么突然 Facebook 抓取工具将他们的请求更改为端口 8082 ？或者这是正常的吗？

端口 8082 从未开放，所有这 6 个月的 fb 都没有任何问题，当我试图找出这次发生的事情时，这个问题自动解决了。我猜 fb 将请求更改为 80 或 443

请问有什么想法吗？

我的网站遭到 DDoS 攻击，托管公司的管理员将 mod_evasive 应用于我的服务器。我的流量已经从每天 10K+ 访问量增加到每天 1K-2K 之间。mod_evasive 会不会过于激进而扼杀良好的流量？

我按照这个教程安装 mod_evasive

https://documentation.cpanel.net/display/EA4/Apache+Module%3A+Evasive#ApacheModule:Evasive-Configuration

我将DOSBlockingPeriodBlock bad IP 设置为 60 秒。它的默认设置是 10 秒

如果我在 3 秒内刷新我的网站 10 次，那么我会收到 403 错误，似乎没问题。

问题 1

但是在 10 秒后或 10 秒之前的某个时间后，我的网站再次开始工作，它不会在 60 秒内阻止我的 IP。

问题 2

对于测试，我使用不同的用户代理每秒发送 500 个请求，它不会阻止我的请求。它没有保护我免受 IP 的 DDos 攻击。如果来自同一个用户代理的所有请求，则它会阻止 IP。

如果 1 个浏览器中的任何 IP 块，它正在其他浏览器中工作，这意味着 mod_evasive 块检查 IP+user_agent。我想阻止一个坏 IP 60 秒。

我检查了那些 8 岁的答案，而不是我的解决方案。

Centos 7、PHP 7.2、Apache 2.4

有什么解决办法吗？

我正在尝试在我的 CENTOS7 服务器 (VPS) 中配置 mod_evasive 以防止 DDOS 攻击。

我按照以下教程中提到的步骤进行操作。（此链接）虽然我没有使用 IPTABLES，但我使用的是 firewalld。

在 mod_evasive 中，当 IP 被列入黑名单时执行 shell 命令的指令是DOSSystemCommand. 但是当一个 IP 被阻止时，我想运行的脚本会将 IP 地址提交给 firewalld 以阻止，被 SeLinux 阻止。根据我查看 audit.log 后的理解，SeLinux 不允许 apache 用户以 sudo 身份运行命令。即使通过 sudoers 文件允许这样做。

（mod_evasive 工作正常，我在运行 mod_evasive 提供的测试脚本时验证了这一点。当 IP 被阻止时，我也会收到电子邮件）

以下是具体内容；

mod_evasive.conf 文件（仅 DOSSystemCommand 指令如下所示）

我也尝试了以下变体（也有不同的用户，例如 root 用户）

sudoers 文件（仅我为此目的修改的部分 [允许 apache 以 sudo 运行）

我允许 apache 以任何用户身份运行所有脚本，仅用于测试目的。最初我将命令限制如下

我的 ban_ip.sh 文件

我已经通过运行以下命令验证了配置是否正常工作

上述命令成功将规则添加到 firewalld。

当我禁用 SeLinux 时，整个设置工作。

启用 SeLinux 后，audit.log 中出现以下错误

SeLinux 中设置了以下标志

我不确定为什么 SeLinux 会阻止这一点，因此我怀疑创建一个自定义策略来允许此行为，如 audit2allow 所建议的那样。

审计2允许输出

如果我们不能阻止 IP 而不仅仅是向403 forbidden攻击者发送响应，我觉得 mod_evasive 将无助于阻止 DDOS。这仍然会消耗服务器资源。

我该如何解决这个问题以及我可以实施哪些其他替代方案来缓解 DDOS 并增强我的 VPS 保护？

感谢您的帮助

我正在设置一个 apache2 网络服务器，并且我正在添加一些安全性来阻止暴力攻击。我打算使用 mod_evasive 并有另一个文件来运行命令来禁止和取消禁止用户。我的配置如图所示。

我可以完美地运行我的 ban.sh 文件作为 www-data。我在测试时有第二个 DOSSystemCommand。它不会回显到 /tmp 或日志文件夹。有什么我做的不对吗？

在 Debian 10 上运行 Apache，我安装了 mod_evasive 并希望它记录块。理想情况下，日志文件应位于 /var/log 下方。显而易见的地方是 /var/log/mod_evasive，这是 evasive.conf 中 DOSLogDir 的当前设置。问题是，我找不到为此目录设置权限的方法。它不适用于 www 数据。PHP-FPM 将每个站点作为不同的用户运行。它也不适用于主站点用户。由于没有日志记录，因此很难知道 mod_evasive 正在尝试记录什么。是否有关于如何设置权限的答案？

我现在正在使用阻止 ddos​​ 攻击者的模块 apache2 Mod_evasive。
这是我正在使用的代码

我对自己进行了测试，我也被阻止了，它在 3 个（DOSPageCount）请求后给出了 Forbidden 消息，但这还不够。

因为仍然有流量带宽在进行。
所以我很想问是否有任何方法可以在 DOSSystemCommand 链接 UFW bash 脚本或普通命令

通过这种方式，我们可以删除该 IP，并且不会计算任何流量。

到目前为止，我尝试过，但不起作用。

%s = 攻击者 ip

我按照https://www.atlantic.net/vps-hosting/how-to-install-and-configure-modevasive-with-apache-on-ubuntu-18-04/中的说明安装了 mod_evasive，但配置如下：

但是当我运行 perl 脚本时，我没有看到 IP 被列入黑名单，所有请求都得到响应 200 ok，而我期待 403 Forbidden :(

我哪里错了？？

附加细节：当我重新启动我的 Apache 时，我看到了 6 个实例。当我运行测试 perl 脚本时，立即检查 apache 实例的数量，我看到 30-ish 实例的计数在一段时间后下降到 10。

我的 Apache 配置如下所示：

我的 mpm_prefork_module 配置如下所示：

这是Apache配置的问题吗？

我正在尝试使用 mod_remoteip 运行 mod_evasive（我正在使用来自 Digitalocean 的负载平衡器）。但是当强制刷新我的负载均衡器 ip 而不是客户端 ip 时会被禁止。

我为 remoteip.conf 配置了以下内容：

日志提供客户端 ip。哪个好。我现在面临的唯一问题是 mod_evasive 禁止错误的 ip。

有相同配置的人吗？或同样的问题。

请帮忙 ：）

短篇故事：

我在我的网站上有一个页面，其中包含很多<img src="getMyImage.php?Id=18311766"/>元素，基本上可以显示一长串图片（以及从数据库中读取的其他内容）。由于许多呼叫mod_evasive触发器，不再显示所有图像。

更多细节：

• 这只是朋友和家人的私人页面，但显然我不能只是将 IP 列入白名单来解决问题。
• 我这样做是因为我不想将图片暴露给“世界”，即使在不太可能的情况下，有人猜到了正确的 url：文件本身不是由配置提供的。php-File 在返回图片之前确认登录。
• 最多不超过约 400 张图片 = 每个外部站点调用的调用。

它只是意味着这样，我只需要mod_evasive通过增加允许的请求数量来减少攻击性吗？至少我没有找到另一个配置选项。

这不像我已经受到攻击......但从学习的角度来看，我想做正确的事情;）