Discussion :

[Jeffjeff]

Bonjour à tous,

Hier soir, avant d'aller me coucher, mon blog Wordpress fonctionnait parfaitement. Et ce matin au réveil > Erreur 500, aucune page ne s'affiche.

J'ai un serveur dédié chez OVH, avec Apache, sur Debian. Mes autres sites sur ce serveur fonctionnent (malgré quelques trucs louches quand même), seul mon blog affiche une erreur 500...

Il y a plein de choses étranges sur fichier .log d'apache.
Dont ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

46.105.117.120 - - [04/Feb/2017:10:11:51 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-"

J'ai donc suivi ce tuto. En espérant que ça suffise, que ça bannira direct les ip liées à ces attaques.


J'ai aussi vu ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

192.99.144.140 - - [04/Feb/2017:10:27:03 +0100] "PROPFIND /webdav/ HTTP/1.1" 405 568 "-" "WEBDAV Client"

ça, ça me fait un peu plus flipper... Est-ce que je devrais couper totalement mon WebDav, par sécurité? (je ne m'en sers pas vraiment).
Si je comprend bien... le gars à chercher à obtenir l'architecture de mon dossier WebDav, non?

Il y a aussi plein de méthodes GET un peu partout, de ce style:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
64.79.100.43 - - [04/Feb/2017:10:52:34 +0100] "GET /manual HTTP/1.1" 301 555 "http://monsite.com/manual" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
 
78.199.142.88 - - [04/Feb/2017:11:27:40 +0100] "GET /dossier/mon-autre-site/dossier/sdk.js HTTP/1.1" 200 57933 "http://lien-de-mon-autre-site/dossier/dossier/index.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"

J'ai d'ailleurs visiter cette URL: http://monsite.com/manual
Et je tombe sur le manuel d'Apache!

Comment se fait t'il qu'on puisse accéder au manuel Apache depuis un de mes site? (d'ailleurs, le dossier de ce manuel a vraiment été scanné de fond en comble, d'après le log! avec forcément des retours "200", donc des succès de requêtes comme ce sont de simples pages HTML accessibles à tous...)
Comment retirer ça?

Aussi, sur mon log fail2ban, j'ai une succession de ligne de ce genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
2017-02-04 02:21:39,459 fail2ban.actions[4884]: WARNING [ssh] Ban 82.236.44.137
2017-02-04 02:31:40,131 fail2ban.actions[4884]: WARNING [ssh] Unban 82.236.44.137
2017-02-04 03:33:13,285 fail2ban.actions[4884]: WARNING [ssh] Ban 193.248.171.175
2017-02-04 03:43:13,986 fail2ban.actions[4884]: WARNING [ssh] Unban 193.248.171.175
2017-02-04 09:57:56,747 fail2ban.actions[4884]: WARNING [ssh] Ban 77.251.57.59
2017-02-04 10:07:57,449 fail2ban.actions[4884]: WARNING [ssh] Unban 77.251.57.59

Pas sûr que ce soit la bonne question... Mais c'est normal qu'il ban une ip pour ensuite la débannir pile poil 10 minutes après?

Au final, une petite idée sur comment supprimer l'erreur 500 de mon blog..? Les fichiers sont toujours présents côté serveur. La base de données n'a pas changée (apparemment)...


Merci d'avance à ceux qui me fileront un petit coup de main!

[dudux2]

si il la bannit c'est que fail2ban est efficace

Et s il n'est plus bannit au bout de 10 minutes, c'est que ta configuration de fail2ban fonctionne , il est configurer pour bannir 10 minutes soit 600 (c'est la config par défaut de fail2ban tu peut très bien mettre 86400 soit une journée.

Dans ce fichier tu as la valeur du banpar defaut (moi j'ai: bantime = 10800)
/etc/fail2ban/jail.conf


Tu as des regles pour gérer les attaques que tu subis: recherche google (fail2ban apache-w00tw00t)
[apache-w00tw00t]
...

[Jeffjeff]

Salut,

En effet, j'ai changé la durée de ban, j'ai passé ça à une journée!

J'ai aussi changer ça façon de gérer les attaques w00t ^^ Normalement ils devraient bannir les ip sans trop réfléchir!

[dudux2]

Bon si tu en est la, alors on peut en dire plus la dessus.

Tu as également

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
findtime = 86400   //Temps pour prendre en compte le maxretry
maxretry = 3   //Le nombre de tentative

Moi je préfère laissé par defaut les valeurs du jail.conf et directement modifié ces 3 variables dans mes config
Pour ma pars voici ma configuration:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
[apache-w00tw00t]
enabled 	= true
filter 		= apache-w00tw00t
action 	= iptables[name=Apache-w00tw00t,port=80,protocol=tcp]
logpath	= /home/*/www/logs/access.*.log 
bantime   	= 86400
findtime 	= 86400
maxretry 	= 1

[Jeffjeff]

Salut,

Merci pour les précisions.

Pour ma part, comme je ne suis pas un grand expert, j'ai juste fait un copier / coller qu'il y avait dans un tuto:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/apache*/access.log
maxretry = 1
bantime = 86400

Je pense que c'est déjà bien comme ça. Je verrais en fonction des logs si il faudra faire quelques modifs ou non.