KlarDev Webentwicklung
Active Defense System

Autonomes Sicherheits-Ökosystem

Selbstentwickelte Intrusion Detection & Prevention Layer. Echtzeit-Blockierung von Web-Attacken, Subnetz-Banning und automatisierte Lageberichte via n8n.

#Bash Scripting #SQLite Monitor #n8n Alerts #Fail2Ban
Herausforderung

Automatisierte Angriffe erfordern automatisierte Abwehr

Öffentliche Webserver sind ständigen Scans ausgesetzt. Standard-Tools wie Fail2Ban reichen oft nicht aus, um komplexe Muster wie Subnetz-Bruteforce oder gezielte SQL-Injections in Web-Logs zu erkennen. Manuelle Log-Analyse ist ineffizient und reaktiv.

Subnetz-Attacken

Angreifer rotieren IPs innerhalb eines Subnetzes, um Fail2Ban zu umgehen. Eine einzelne IP-Sperre ist hier wirkungslos.

Unsichtbare Bedrohungen

Ohne zentrales Dashboard bleiben XSS-Versuche oder SQL-Injection Probes in NGINX-Logs oft monatelang unbemerkt.

Wartungs-Overhead

Log-Dateien füllen die Festplatte, Updates werden vergessen. Manuelle Administration skaliert nicht.

Fehlende Alarmierung

Kritische Events (z.B. erfolgreicher Root-Login oder massive DoS-Attacke) erfordern sofortige Push-Benachrichtigung.

Lösungsansätze

1. Proaktive Angriffs-Blockierung

Ein maßgeschneidertes Bash-System (`web_attack_monitor.sh`) scannt alle 10 Minuten die Access-Logs nach bekannten Angriffs-Signaturen.
  • Erkennt SQLi, XSS, Path Traversal Patterns
  • Blockiert IPs sofort via iptables & UFW
  • Erkennt Subnetz-Angriffe und bannt ganze /24 Ranges
monitor.sh
# Define Attack Patterns
ATTACK_PATTERNS=(
    "union.*select"      # SQL Injection
    "etc\/passwd"        # LFI
    "%3Cscript"          # XSS
    "\.git\/config"      # Git Disclosure
)

for pattern in "${ATTACK_PATTERNS[@]}"; do
    attempts=$(grep -c "$pattern" "$LOG_FILE")
    if [ "$attempts" -ge "$THRESHOLD" ]; then
        # Immediate automated ban
        iptables -I INPUT -s "$ip" -j DROP
        log_alert "IP $ip blocked due to $pattern"
    fi
done

2. Central Intelligence (SQLite + n8n)

Alle Sicherheits-Events (SSH-Logins, Web-Attacken) werden zentral in einer leichten SQLite-Datenbank gesammelt. Einmal täglich (oder bei kritischen Events sofort) generiert ein Skript einen detaillierten Bericht und sendet ihn über einen lokalen n8n-Webhook direkt auf das Smartphone (Telegram). Das Ergebnis: Volle Kontrolle ohne manuelles Einloggen.
report.sh
# Generate Daily Report from SQLite DB
generate_security_report() {
    TOTAL_EVENTS=$(sqlite3 "$DB" "SELECT COUNT(*) FROM events...")
    SSH_STATS=$(sqlite3 "$DB" "SELECT message FROM events WHERE type='ssh'...")
    
    REPORT="🚨 SECURITY REPORT\nEvents: $TOTAL_EVENTS\nCPU: $CPU_LOAD"
    
    # Send to n8n Webhook -> Telegram
    curl -X POST -H "Content-Type: application/json" \
         -d "{\"message\":\"$REPORT\"}" \
         "http://localhost:5678/webhook/log-alert"
}

Subnet Banning

Erkennt koordinierte Angriffe aus /24 Subnetzen und sperrt den gesamten Bereich, statt Katz-und-Maus mit einzelnen IPs zu spielen.

Log Rotation

Automatische Komprimierung und Rotation von Logs. Ältere Daten werden DSGVO-konform nach 30 Tagen gelöscht.

Resource Watch

Überwachung von CPU, RAM und Disk-Usage. Alarmierung bei Anomalien (z.B. Crypto-Mining Malware).

Unattended Upgrades

Konfiguration für automatische Sicherheits-Patches des Kernels und wichtiger Pakete ohne Downtime.

Ergebnisse

0
Erfolgreiche Hacks

Seit Implementierung

24/7
Monitoring

Vollautomatisiert

100%
DSGVO Ready

Durch Log-Retention Policy

< 1s
Reaktionszeit

Bei kritischen Angriffen

Weitere Projekte ansehen
Projektstart

Bereit für den nächsten Schritt?

Unverbindlich, strukturiert und ohne Verkaufsdruck

Bereit für den nächsten Schritt?

Beschreiben Sie kurz Ihr Vorhaben. Sie erhalten eine konkrete Ersteinschätzung zu Machbarkeit, Budget und Timeline — in der Regel innerhalb von 24h.

Projekt anfragen Projekt-Finder starten
Antwortgarantie

Ihre Daten sind sicher (DSGVO-konform). Keine Kaltakquise.