Apache2 - Error.log - File does not exist

[Nerion]

Wer kennt das nicht auch, dass die Apache2 Error.Log mit nachfolgenden Einträgen voll läuft, obwohl das Verzeichnis eigentlich leer ist.

Code:

[Wed Sep 26 18:10:47 2007] [error] [client xxx.xxx.xxx.xxx] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Sep 26 18:11:47 2007] [error] [client xxx.xxx.xxx.xxx] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Sep 26 18:12:47 2007] [error] [client xxx.xxx.xxx.xxx] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin
[Wed Sep 26 18:13:47 2007] [error] [client xxx.xxx.xxx.xxx] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.3.7

Oftmals handelt es sich hierbei um Anfragen, die lediglich den Sinn haben, den Server in die Knie zu zwingen oder Sicherheitslücken zu erkennen und auszunutzen.

Zurzeit arbeite ich an einer effektiven Lösung gegen dieses Problem.
Hilfe ist gern gesehen.

Unsere derzeitige Lösung sieht wie folgt aus.
Erstellt in nachfolgenden Ordnern eine .htaccess Datei mit folgendem Inhalt

Debian:
/var/www/vhosts/default/htdocs/
/var/www/vhosts/default/httpsdocs/
/var/www/vhosts/default/cgi-bin/

Suse:
/srv/www/vhosts/default/htdocs/
/srv/www/vhosts/default/httpsdocs/
/srv/www/vhosts/default/cgi-bin/

.htaccess

Code:

RewriteEngine On
RewriteRule .* http://www.domain2.tld [R=permanent]

Somit werden alle Anfragen an dieses Verzeichnis direkt auf die Domain domain2.tld umgeleitet, die es logischerweiße nicht gibt.

Allgemeiner Hinweis:
Aus oben genannten Gründen sollte man es daher vermeiden in diesen default-Ordnern überhaupt einen Inhalt zu erstellen.

[udenhainer]

Ich habe das selbe Problem das der Apache Log vollläuft.
Da ich Fail2ban einsetze, kann man über die Einstellung in der
/etc/fail2ban/jail.conf folgendes:

Code:

[apache-shorewall]

enabled  = true
filter   = apache-noscript
action   = shorewall
           sendmail-whois[name=NoScript, mario.xxxx@googlemail.com]
logpath  = /var/log/httpd/error_log

und in dem passenden Filter /etc/fail2ban/filter.d/apache-noscript.conf folgendes:

Code:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 728 $
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failure messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = [[]client <HOST>[]] (File does not exist|script not found or unable to stat): /\S*(\.php|\.asp|\.inc\.exe|\.pl|cube|round|roundcube-0.2|roundcube-0.1|roundcubemail-0.1|roundcubemail-0.2|wm|webmail2|rms|mail2|mss2|mss|roundcubemail|rc|webmail|roundcube|mail|horde|README|configure|config|media|phpmyadmin|phpMyAdmin|myadmin|MyAdmin|myadmin|pma|PMA2005|phpmanager|php-myadmin|websql|sqlweb|mysqladmin|mysql-admin|p|*)
            [[]client <HOST>[]] script '/\S*(\.php|\.asp|\.exe|\.pl)\S*' not found or unable to stat *$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

doch es werden immer mehr Wörter abgefragt. Man müsste diese also immer wieder ergänzen.
Wie man alleine nur den "File does not exist" sperren könnte, weiß ich leider nicht. Sonst könnte man den Scanner direkt über hostdeny aussperren.

Hartnäckige Scanner(Ip-Adressen) füge ich in IP-Tables oder hostdeny direkt ein.

Am liebsten wäre mir nur den deutschsprachigen Raum und dessen IP-Adressen zu zulassen in hostdeny oder sonstwo, doch ich habe noch nichts gefunden. Es wird viel geschrieben das man es könnte, doch erklärt wird es nirgends.