Turkey (Türkçe)
Germany (German)
Worldwide (English)
Viele automatische Scan-Tools, Cybersicherheitssoftware und Angriffs-Bots versuchen, über offene Ports oder bekannte Schwachstellen auf Ihren Server zuzugreifen. Insbesondere Anfragen von Pentest-Software, Sicherheitsfirmen oder Automatisierungssystemen können Ihr System belasten. Daher sollten sowohl auf SSH- als auch auf Apache-Ebene Sicherheitsmaßnahmen getroffen werden. In diesem Leitfaden erklären wir, wie Sie mit .htaccess Proxy-Zugriffe und Bot-Scans blockieren und direkte Zugriffsbeschränkungen über SSH vornehmen.
1. .htaccess zum Blockieren von Proxy- und Sicherheits-Scan-Bots
A) Bekannte Proxy- & Pentest User-Agents blockieren
RewriteEngine On
# User-Agent basierte Blockierung
SetEnvIfNoCase User-Agent ".*(sqlmap|nikto|acunetix|netsparker|nessus|scanner|libwww).*" bad_bot
Order Allow,Deny
Allow from all
Deny from env=bad_bot
B) Bekannte IP-Bereiche blockieren (z.B. Shodan, Censys, usw.)
<Limit GET POST>
Order Allow,Deny
Allow from all
Deny from 71.6.135.0/24
Deny from 89.248.165.0/24
Deny from 104.131.0.0/16
</Limit>
C) Proxy Header Kontrolle
RewriteCond %{HTTP:X-Forwarded-For} !^$
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{HTTP:VIA} !^$
RewriteRule ^(.*)$ - [F,L]
Diese Regeln prüfen, ob die eingehende Anfrage über einen Proxy kommt und blockieren sie gegebenenfalls.
2. Zugriffsbeschränkungen über SSH
A) Root-Login deaktivieren
Öffnen Sie die Datei /etc/ssh/sshd_config:
sudo nano /etc/ssh/sshd_config
Suchen Sie die folgende Zeile und ändern Sie sie wie folgt:
PermitRootLogin no
B) SSH-Zugriff nur für bestimmte IPs erlauben
echo "sshd: 31.143.234.25 : allow" | sudo tee -a /etc/hosts.allow
echo "sshd: ALL : deny" | sudo tee -a /etc/hosts.deny
C) SSH-Port ändern
Port 2222 # Beispiel: Anstelle von 22
Zur Anwendung:
sudo systemctl restart sshd
3. Zusätzliche Empfehlungen
-
Blockieren Sie Brute-Force-Angriffe mit Fail2Ban.
-
Wenn Sie Cloudflare verwenden, fügen Sie ASN-Blockierung, Länderblockierung und WAF-Regeln hinzu.
-
Führen Sie mit Imunify360, CSF oder ähnlicher Server-Sicherheitssoftware eine automatische Angriffserkennung durch.
Mit diesen einfachen, aber effektiven Maßnahmen sowohl auf .htaccess- als auch auf SSH-Ebene wird Ihr Server widerstandsfähiger gegen Cyberangriffe. Sicherheit sollte mit einem mehrschichtigen Ansatz gewährleistet und kontinuierlich überwacht werden. Insbesondere die Blockierung bekannter Pentest-Software und Proxy-basierter Scans hilft Ihnen, Angreifer frühzeitig zu stoppen.