Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Invité
    Invité(e)
    Par défaut Limiter les requêtes http/Apache avec IpTables
    Hello hello,
    Je me retrouve avec plein de requêtes sur mon serveur du type ci-dessous.
    Je voulais savoir comment limiter avec IpTables ce genre de demande ?
    J’utilises déjà fail2ban mais il les bloque 5 à 10 secondes après, ce qui permet de lancer 20,30 voir 50 demandes…
    Merci par avance pour vos réponses.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
     
    [Sat Nov 25 19:09:34 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/events
    [Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/media-rss
    [Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/data
    [Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/events
    [Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/events
    [Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/news
    [Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/news
    [Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/data
    [Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/rss.xml

  2. #2
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 831
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 831
    Points : 7 772
    Points
    7 772
    Par défaut
    salut,

    Citation Envoyé par weeza9 Voir le message
    J’utilises déjà fail2ban mais il les bloque 5 à 10 secondes après, ce qui permet de lancer 20,30 voir 50 demandes…
    pour le dire simplement :
    • bloquer des IP avec le firewall, c'est une bonne idée uniquement si l'IP envoie des requêtes trop rapidement et que le serveur se retrouve à genoux parce qu'il met trop de temps pour traiter toutes les requêtes. en général ça veut surtout dire que le serveur manque de patate ou que l'application est trop gourmande et/ou codée avec les pieds
    • si c'est pour "sécuriser" et empêcher les vilains pirates, ça n'est pas une bonne idée, ton fail2ban qui réagit au bout de quelques secondes c'est probablement la bonne configuration à avoir, en clair : il vaut mieux quelques lignes dans les logs que d'interdire une IP légitime
    • avoir 50 lignes de requêtes en 404 dans les logs effectuées par des robots automatisés depuis des zombies ça n'est pas un problème, ça ne tue pas, ça n'est même pas contagieux, le tout c'est de faire attention que les logs ne puissent jamais saturer la partition, donc la seule chose à faire c'est de bien configurer logrotate. au contraire c'est même très intéressant ça permet d'étudier l'attaquant, voir quelles sont les urls qui l'intéressent, ce qu'il cherche, par où il essaye d'entrer, tirer des stats etc.


    au delà :
    • il peut être envisageable de bloquer des plages IP connues pour abriter des botnets (au hasard http://www.mddcore.com/botnets.php), il suffit d'écrire le petit script qui va bien pour mettre à jour régulièrement (et faire attention de soi-même pas être dedans )
    • au niveau d'apache, on peut envisager un truc comme mod_security2 pour parer les attaques, attention #1 : les 404 ne sont pas le signe qu'on est attaqué, attention #2 : c'est un outil compliqué, qui demande des connaissances en sécu et sur les schémas d'attaques, et il faut obligatoirement le maintenir, le chouchouter régulièrement pour qu'il soit efficace, c'est un rasoir à double-tranchant
    • au niveau de l'application proprement dite, il est souvent possible de rajouter un module anti-spam ou similaire (akismet, stopforumspam etc.) pour éviter une utilisation abusive et interdire l'entrée
    • hébergeurs type OVH capables de gérer et absorber les (D)DoS de grande capacité, sondes d'intrusion ({H,N}IPS), monitoring, sondes maison etc. etc. etc. etc. etc... selon le besoin et les compétences.


    ps: note que dans les urls que tu montres, le gars semble juste chercher s'il y a un flux rss sur le site, rien de méchant donc...
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  3. #3
    Invité
    Invité(e)
    Par défaut
    Hello BufferBob !
    Merci pour tes lumières.
    Mon serveur est plutôt puissant donc nop, ils le mettrons pas à genoux (enfin j'espère)

    Pour ce qui est des logs, la 1er chose que je fais lorsque je me connecte c'est de les regarder et effectivement c'est intéressant de voir les URL qui sont demandées.
    Suite à ça j'ai changer l'URL d'accès d'origine de certaines de mes appli (PhpMyAdmin, PostfixAdmin...) pour sécuriser un peu le machin.
    Pour le logrotate, j'ai mis 1 mois pour le moment et je passerai à une semaine par la suite.
    Je vais donc laisser Fail2ban faire son boulot tranquillement et approfondir mes connaissances d'IpTables et ne pas tomber dans la paranoïa sécuritaire

    Concernant Fail2ban et IpTables, des conseils pour les réglages / règles ?
    Les choses qui pour toi/vous sont indispensables ?

    Je précise que j'ai déjà bien cherché mais j'ai tellement de piste et d'infos que ça en tue l'info :p

    Sur ces klk mots, je te souhaite un bon dimanche ! !

    PS: J'ai utilisé ce tuto pour la mise en place de mon serveur que j'ai trouvé très complet et clair pour un newbie comme moi.

  4. #4
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 831
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 831
    Points : 7 772
    Points
    7 772
    Par défaut
    Citation Envoyé par weeza9 Voir le message
    Suite à ça j'ai changer l'URL d'accès d'origine de certaines de mes appli (PhpMyAdmin, PostfixAdmin...) pour sécuriser un peu le machin.
    oui, c'est une très bonne idée, ça mange pas de pain et ça permet d'éviter complètement les scans automatisés

    Pour le logrotate, j'ai mis 1 mois pour le moment et je passerai à une semaine par la suite.
    en général c'est suffisant, à ajuster selon la volumétrie d'internautes sur le serveur, sachant que si on veut être tranquille logrotate permet aussi d'effectuer la rotation quand le fichier atteint une certaine taille sur le disque

    Concernant Fail2ban et IpTables, des conseils pour les réglages / règles ?
    Les choses qui pour toi/vous sont indispensables ?
    pas vraiment de conseil pré-établi, de mon point de vue mettre les mains dans le cambouis technique c'est indispensable, quand t'es suffisamment calé tu prends tes logs, ton monitoring, tu fais d'autres mesures éventuelles etc. et tu détermines tes seuils directement toi-même, c'est l'idée en tous cas; aimer faire ce genre de trucs, avis perso.

    Sur ces klk mots, je te souhaite un bon dimanche ! !
    tout pareil, bonne fin de week-end
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  5. #5
    Membre actif

    Profil pro
    Webmaster
    Inscrit en
    décembre 2008
    Messages
    244
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : décembre 2008
    Messages : 244
    Points : 283
    Points
    283

Discussions similaires

  1. Règles iptables pour filtrer les requêtes http
    Par youp_db dans le forum Réseau
    Réponses: 1
    Dernier message: 24/01/2013, 23h16
  2. Capturer les requêtes http reçues sur Jonas
    Par amad206 dans le forum JOnAS
    Réponses: 11
    Dernier message: 23/01/2009, 10h02
  3. Intercepter les requêtes HTTP
    Par Booster2ooo dans le forum Débuter
    Réponses: 2
    Dernier message: 09/05/2008, 10h21
  4. Requête HTTP - POST avec socket
    Par kalylive dans le forum Réseau
    Réponses: 3
    Dernier message: 28/04/2008, 14h10
  5. Intercepter les requêtes HTTP et les modifier.
    Par Alexandre T dans le forum Général Conception Web
    Réponses: 3
    Dernier message: 21/09/2005, 19h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo