Discussion :

[kyrylo]

Bonjour à tous,

je viens de louer un nouveau serveur dédié chez Kimsufi. Après avoir installé Apache je constate dans les logs plusieurs connexions assez étrange...
Une vingtaine d'évènements par seconde de ce type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
[Sat Oct 08 18:40:16.528045 2016] [access_compat:error] [pid 1223:tid 118908053092096] [client 49.49.233.119:25666] AH01797: client denied by server configuration: /var/www/html/images, referer: http://74.55.90.235/CCforum/DCForumID2/2512.html?r=15
[Sat Oct 08 18:40:16.538454 2016] [access_compat:error] [pid 1222:tid 118907982841600] [client 106.0.211.154:54127] AH01797: client denied by server configuration: /var/www/html/images, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html
[Sat Oct 08 18:40:16.584113 2016] [access_compat:error] [pid 1223:tid 118908035081984] [client 106.0.211.154:54129] AH01797: client denied by server configuration: /var/www/html/images, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html
[Sat Oct 08 18:40:16.589264 2016] [access_compat:error] [pid 1222:tid 118907964258048] [client 182.232.113.117:12169] AH01797: client denied by server configuration: /var/www/html/images, referer: http://www.palmplaza.us/CCforum/DCForumID3/144762.html
[Sat Oct 08 18:40:16.630353 2016] [access_compat:error] [pid 1223:tid 118908026242816] [client 106.0.211.154:54130] AH01797: client denied by server configuration: /var/www/html/images, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html
[Sat Oct 08 18:40:16.635485 2016] [access_compat:error] [pid 1222:tid 118907955037952] [client 106.0.211.154:54131] AH01797: client denied by server configuration: /var/www/html/banner, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html
[Sat Oct 08 18:40:16.776469 2016] [access_compat:error] [pid 1222:tid 118907945903872] [client 106.0.211.154:54127] AH01797: client denied by server configuration: /var/www/html/banner, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html

Je retrouve ces adresses aussi bien dans les logs "access" que "error"

Je n'ai encore installé aucun site sur le serveur. seulement démarré Apache et IPBan (qui créé des centaines de nouvelles règles dans mon Firewall) suite à ces connexions répétées.

Après analyse, j'ai constaté sur mon autre serveur des évènements semblable mais a une fréquence bien moins importante que sur celui-ci (10 connexions par jours..) contre 20connexions à la seconde sur ce nouveau serveur !

Est-ce un du à un problème de configuration d'Apache ? Ou ai-je vraiment pas de chance et récupéré une "sale" adresse IP ? Tentatives d'attaque ? ou Service qui utilisait cette adresse dans le passé ?
merci d'avance !