IMG_3425.PNGMit dem Modul Mod Evasive kann ein Apache-Web Server zusätzlich vor DoS Angriffen geschützt werden.

Mit dem Apache-Modul werden IP-Adressen gesperrt. Es kann aber vorkommen, das auch Adressen gesperrt werden, die gar nicht „Böse“ sind. Dies passiert z.B. gerade dann, wenn man einen Webdienst wie PIWIK nutzt, der sehr viele Anfragen/Request produziert. Auch die PIWIK App kann davon betroffen sein und keine Daten mehr anzeigen. Im Log tauchen dann z.B. folgende Einträge auf (Log-Datei liegt meistens im Verzeichniss  /var/log/mod_evasive/):

Da die IP Adressen teils dynamisch vergeben werden, kommt man auch nicht unbedingt zum Erfolg, wenn man die IP-Adresse auf die Whitelist setzt. Eine Abschaltung des Moduls kommt aber auch nicht in Frage. Ich empfehle deshalb die Werte „DOSPageCount“ und „DOSSiteCount“ anzupassen bzw. hochzusetzen. Hier muss natürlich genau beobachtet und ein werden und die beiden Werte ggf. weiter zu korrigieren.

Ich fahre mit folgender Konfiguration ganz gut:

Setzt man auf seinem Server auch noch die Firewall iptables ein, kann mit  dem folgendem Parameter „DOSSystemCommand“  die von mod_evasive gesperrte IP an die Firewall weitergeben werden:

Nach Änderung der Konfiguration den Apache-Webserver neu starten.