このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

SWATCHでApache2のログ監視 このメッセージに返信する
日時: 2008/12/07 17:23
名前: まさる
URL:
はじめまして。まさると申します。

こちらのサイトを参考にSWATCHでのログ監視を導入し順調に動作しております。
http://centossrv.com/swatch.shtml

質問ですが、SWATCHでApache2のログを監視させ、Apache2のログに
同じIPから2秒以内に3回、" 503 "があればアクセスを24時間禁止とかにすることは
可能なのでしょうか?

ダウンロード支援ツールを禁止しmod_limitipconnを使って拡張子指定で2接続以上の
同時ダウンロードを不可にしておりますが、何度もツールで落そうとする人が多くて
なんとか対応できないかなと考えております。

mod_limitipconnを使うとApacheのアクセスログに「503」がでます。

SWATCHと連携させてアクセス禁止にできたら少しはルールを守ってくれる人が
快適に落せるかなと思ってます。

お知恵をおかし頂ければ幸いです。

宜しくお願い致します。
記事編集 編集

Page: | 1 | 2 |

Re: SWATCHでApache2のログ監視 このメッセージに返信する
日時: 2008/12/14 00:41
名前: まさる
URL:
まさるです。

mod_dosdetectorというツールでApacheのErrorログに条件があえば
[Sun Dec 14 00:11:37 2008] [notice] dosdetector: '***.***.***.***' is suspected as Hard DoS attack!
と吐かせることができましたが、これをSWATCHで監視する方法がわかりません^^;

ためしに・・・
#vi /etc/swatch/httpd.conf

# logfile /var/log/httpd/error_log

# [Hard DoS attack!]を検知したら該当ホストからのアクセスを24時間規制
watchfor /Hard DoS attack!/
pipe "/usr/local/bin/swatch_action.sh 10 lock"
throttle=00:00:10

としてみましたが、下記のメールが届きました。

Subject: 0 lock!

--本文--
jwhois version 3.2.3,
Copyright (C) 1999-2005 Free Software Foundation, Inc.
This program is free software with ABSOLUTELY NO WARRANTY; you may
redistribute it under the terms of the GNU General Public License.

Usage: jwhois [OPTIONS] [QUERY]
--version display version number and patch level
--help display this help
-v, --verbose verbose debug output
-c FILE, --config=FILE use FILE as configuration file
-h HOST, --host=HOST explicitly query HOST
-n, --no-redirect disable content redirection
-s, --no-whoisservers disable whois-servers.net service support
-a, --raw disable reformatting of the query
-i, --display-redirections display all redirects instead of hiding them
-p PORT, --port=PORT use port number PORT (in conjunction with HOST)
-r, --rwhois force an rwhois query to be made
--rwhois-display=DISPLAY sets the display option in rwhois queries
--rwhois-limit=LIMIT sets the maximum number of matches to return

Report bugs to bug-jwhois@gnu.org
--本文--

なんとかHard DoS attack!があれば24時間規制にする事はできませんでしょうか?

追記
SWATCHのログに下記が出てました。
Sun Dec 14 00:30:45 JST 2008 0 lock!
/usr/local/bin/swatch_action.sh: line 33: [: -eq: unary operator expected
/usr/local/bin/swatch_action.sh: line 35: [: -eq: unary operator expected
/usr/local/bin/swatch_action.sh: line 37: [: -eq: unary operator expected
/usr/local/bin/swatch_action.sh: line 42: /var/log/swatch/: Is a directory
cat: /var/log/swatch/: Is a directory
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROP'
cat: /var/log/swatch/: Is a directory
Sun Dec 14 00:35:14 JST 2008 0 lock!

IPがうまく切り出せてないって事でしょうか?
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -