Discussion :

[kyrylo]

Bonjour à tous,

je viens de louer un nouveau serveur dédié chez Kimsufi. Après avoir installé Apache je constate dans les logs plusieurs connexions assez étrange...
Une vingtaine d'évènements par seconde de ce type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
[Sat Oct 08 18:40:16.528045 2016] [access_compat:error] [pid 1223:tid 118908053092096] [client 49.49.233.119:25666] AH01797: client denied by server configuration: /var/www/html/images, referer: http://74.55.90.235/CCforum/DCForumID2/2512.html?r=15
[Sat Oct 08 18:40:16.538454 2016] [access_compat:error] [pid 1222:tid 118907982841600] [client 106.0.211.154:54127] AH01797: client denied by server configuration: /var/www/html/images, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html
[Sat Oct 08 18:40:16.584113 2016] [access_compat:error] [pid 1223:tid 118908035081984] [client 106.0.211.154:54129] AH01797: client denied by server configuration: /var/www/html/images, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html
[Sat Oct 08 18:40:16.589264 2016] [access_compat:error] [pid 1222:tid 118907964258048] [client 182.232.113.117:12169] AH01797: client denied by server configuration: /var/www/html/images, referer: http://www.palmplaza.us/CCforum/DCForumID3/144762.html
[Sat Oct 08 18:40:16.630353 2016] [access_compat:error] [pid 1223:tid 118908026242816] [client 106.0.211.154:54130] AH01797: client denied by server configuration: /var/www/html/images, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html
[Sat Oct 08 18:40:16.635485 2016] [access_compat:error] [pid 1222:tid 118907955037952] [client 106.0.211.154:54131] AH01797: client denied by server configuration: /var/www/html/banner, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html
[Sat Oct 08 18:40:16.776469 2016] [access_compat:error] [pid 1222:tid 118907945903872] [client 106.0.211.154:54127] AH01797: client denied by server configuration: /var/www/html/banner, referer: http://www.palmplaza.us/CCforum/DCForumID3/142193.html

Je retrouve ces adresses aussi bien dans les logs "access" que "error"

Je n'ai encore installé aucun site sur le serveur. seulement démarré Apache et IPBan (qui créé des centaines de nouvelles règles dans mon Firewall) suite à ces connexions répétées.

Après analyse, j'ai constaté sur mon autre serveur des évènements semblable mais a une fréquence bien moins importante que sur celui-ci (10 connexions par jours..) contre 20connexions à la seconde sur ce nouveau serveur !

Est-ce un du à un problème de configuration d'Apache ? Ou ai-je vraiment pas de chance et récupéré une "sale" adresse IP ? Tentatives d'attaque ? ou Service qui utilisait cette adresse dans le passé ?
merci d'avance !

[BufferBob]

salut,

n'importe quelle machine connectée sur internet subit immanquablement des attaques, chaque jour, toute la journée, à un rythme variable, donc no stress.

[kyrylo]

Merci pour ce retour.
Je suis bien conscient qu'une machine connecté à internet subit des attaques.
Seulement je suis quand même surpris des connexions répétés sur ce serveur. Depuis son acquisition c'est du non stop. 1 semaine apres l'installation d'apache une moyenne de 2 millions de connexions par jour avec presque toujours la même valeur après "réferer".

Le rythme n'est pour le moment pas variable
Une dizaine de serveurs sur lesquelles je bosse (personne/pro) jamais été confronté à cela

[BufferBob]

1 semaine apres l'installation d'apache une moyenne de 2 millions de connexions par jour

ah oui tout de même ^^

effectivement c'est pas impossible que t'aies récupéré une IP un peu moisie, coté mitigation il faudra privilégier en priorité le firewall/un blocage au niveau IP voire éventuellement sur la string du referer, ou en dernier recours une RewriteRule au niveau d'Apache

[kyrylo]

c'est bien ce que je craignais
je vais voir ce que je peux faire côté firewall. Les adresses IP proviennent pour la plupart du même pays, j'avais aussi pensé à un filtrage à partir de la géolocalisation IP ?

merci !!