Discussion :

[Invité]

Hello hello,
Je me retrouve avec plein de requêtes sur mon serveur du type ci-dessous.
Je voulais savoir comment limiter avec IpTables ce genre de demande ?
J’utilises déjà fail2ban mais il les bloque 5 à 10 secondes après, ce qui permet de lancer 20,30 voir 50 demandes…
Merci par avance pour vos réponses.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
[Sat Nov 25 19:09:34 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/events
[Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/media-rss
[Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/data
[Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/events
[Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/events
[Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/news
[Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/news
[Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/data
[Sat Nov 25 19:12:36 2017] [error] [client 85.233.150.58] File does not exist: /var/www/default/rss.xml

[BufferBob]

salut,

J’utilises déjà fail2ban mais il les bloque 5 à 10 secondes après, ce qui permet de lancer 20,30 voir 50 demandes…

pour le dire simplement :

• bloquer des IP avec le firewall, c'est une bonne idée uniquement si l'IP envoie des requêtes trop rapidement et que le serveur se retrouve à genoux parce qu'il met trop de temps pour traiter toutes les requêtes. en général ça veut surtout dire que le serveur manque de patate ou que l'application est trop gourmande et/ou codée avec les pieds
• si c'est pour "sécuriser" et empêcher les vilains pirates, ça n'est pas une bonne idée, ton fail2ban qui réagit au bout de quelques secondes c'est probablement la bonne configuration à avoir, en clair : il vaut mieux quelques lignes dans les logs que d'interdire une IP légitime
• avoir 50 lignes de requêtes en 404 dans les logs effectuées par des robots automatisés depuis des zombies ça n'est pas un problème, ça ne tue pas, ça n'est même pas contagieux, le tout c'est de faire attention que les logs ne puissent jamais saturer la partition, donc la seule chose à faire c'est de bien configurer logrotate. au contraire c'est même très intéressant ça permet d'étudier l'attaquant, voir quelles sont les urls qui l'intéressent, ce qu'il cherche, par où il essaye d'entrer, tirer des stats etc.

au delà :

• il peut être envisageable de bloquer des plages IP connues pour abriter des botnets (au hasard http://www.mddcore.com/botnets.php), il suffit d'écrire le petit script qui va bien pour mettre à jour régulièrement (et faire attention de soi-même pas être dedans )
• au niveau d'apache, on peut envisager un truc comme mod_security2 pour parer les attaques, attention #1 : les 404 ne sont pas le signe qu'on est attaqué, attention #2 : c'est un outil compliqué, qui demande des connaissances en sécu et sur les schémas d'attaques, et il faut obligatoirement le maintenir, le chouchouter régulièrement pour qu'il soit efficace, c'est un rasoir à double-tranchant
• au niveau de l'application proprement dite, il est souvent possible de rajouter un module anti-spam ou similaire (akismet, stopforumspam etc.) pour éviter une utilisation abusive et interdire l'entrée
• hébergeurs type OVH capables de gérer et absorber les (D)DoS de grande capacité, sondes d'intrusion ({H,N}IPS), monitoring, sondes maison etc. etc. etc. etc. etc... selon le besoin et les compétences.

ps: note que dans les urls que tu montres, le gars semble juste chercher s'il y a un flux rss sur le site, rien de méchant donc...

[Invité]

Hello BufferBob !
Merci pour tes lumières.
Mon serveur est plutôt puissant donc nop, ils le mettrons pas à genoux (enfin j'espère)

Pour ce qui est des logs, la 1er chose que je fais lorsque je me connecte c'est de les regarder et effectivement c'est intéressant de voir les URL qui sont demandées.
Suite à ça j'ai changer l'URL d'accès d'origine de certaines de mes appli (PhpMyAdmin, PostfixAdmin...) pour sécuriser un peu le machin.
Pour le logrotate, j'ai mis 1 mois pour le moment et je passerai à une semaine par la suite.
Je vais donc laisser Fail2ban faire son boulot tranquillement et approfondir mes connaissances d'IpTables et ne pas tomber dans la paranoïa sécuritaire

Concernant Fail2ban et IpTables, des conseils pour les réglages / règles ?
Les choses qui pour toi/vous sont indispensables ?

Je précise que j'ai déjà bien cherché mais j'ai tellement de piste et d'infos que ça en tue l'info :p

Sur ces klk mots, je te souhaite un bon dimanche ! !

PS: J'ai utilisé ce tuto pour la mise en place de mon serveur que j'ai trouvé très complet et clair pour un newbie comme moi.

[BufferBob]

Suite à ça j'ai changer l'URL d'accès d'origine de certaines de mes appli (PhpMyAdmin, PostfixAdmin...) pour sécuriser un peu le machin.

oui, c'est une très bonne idée, ça mange pas de pain et ça permet d'éviter complètement les scans automatisés

Pour le logrotate, j'ai mis 1 mois pour le moment et je passerai à une semaine par la suite.

en général c'est suffisant, à ajuster selon la volumétrie d'internautes sur le serveur, sachant que si on veut être tranquille logrotate permet aussi d'effectuer la rotation quand le fichier atteint une certaine taille sur le disque

Concernant Fail2ban et IpTables, des conseils pour les réglages / règles ?
Les choses qui pour toi/vous sont indispensables ?

pas vraiment de conseil pré-établi, de mon point de vue mettre les mains dans le cambouis technique c'est indispensable, quand t'es suffisamment calé tu prends tes logs, ton monitoring, tu fais d'autres mesures éventuelles etc. et tu détermines tes seuils directement toi-même, c'est l'idée en tous cas; aimer faire ce genre de trucs, avis perso.

Sur ces klk mots, je te souhaite un bon dimanche ! !

tout pareil, bonne fin de week-end

[Invité]

Sécuriser sa machine et son serveur web.

Mes notes de recherche :

Configurer Apache2
https://www.visionduweb.eu/wiki/inde...ion_de_Apache2

ICMP Flood
https://www.visionduweb.eu/wiki/inde...C3.A9mentaires

Sécurité
https://www.visionduweb.eu/wiki/inde...%A9curit%C3%A9

Monitoring
https://www.visionduweb.eu/wiki/inde...rer_un_serveur

Gestion des logs
https://www.visionduweb.eu/wiki/inde...stion_des_logs

Iptables
https://www.visionduweb.eu/wiki/inde...e-feu_Iptables

Fail2ban
https://www.visionduweb.eu/wiki/inde...liser_Fail2ban