DEDIBOX-NEWS.COM
Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
#1 2008-06-02 10:57:33
- doudi
- Membre
- Date d'inscription: 2008-03-26
- Messages: 26
Lutter contre une forme d'attaque :
bonjour à tous,
depuis l'install de mon serveur, tous les jours, je regarde les logs d'apache pour corriger les erreurs de mon site... De ce coté là, tout baigne, mais je constate des trucs plus désagréables :
Quelqu'un tente de se connecter en entrant des tonnes d'url différentes, visiblement pour accéder aux bases de données, ou aux outils administrations de divers logiciels comme phpmyadmin, wordpress, phpbb, typo3,...
Ce qui fait qu'en l'espace de quelques secondes, il me génère des tonnes d'erreur 404, et donc des tonnes de lignes dans le fichier error.log.
- les IP changent entre 2 période d'attaque, chaque période dure quelques mn tout au plus, mais bizarrement, les url demandées sont presque toujours les mêmes (d'une attaque sur l'autre, j'entends)...
- rien que sur ce matin, j'ai 1400 lignes d'erreurs 
2 attaques, à +/- 600 lignes par attaque.
Je suis plutôt nul question sécurité, je n'y connais rien ou presque.
Dans l'ordre, j'avais commencé à paramétrer iptable, sans certitude, j'ai installé ce matin à 8h30 fail2ban... Mais à 9H00, j'avais à nouveau une attaque
Que me conseillez-vous pour lutter contre cet acharné ?
Hors ligne
#2 2008-06-02 11:04:07
Re: Lutter contre une forme d'attaque :
Bonjour je suppose que c'est des attaques du type
/phpmyadmin
/phpmyadmin2.0 ....
Essaye le mod_evasive, ca permet de limiter le nombre de requetes / page / délai . On peut coupler à iptables mais j'ai jamais réussi
Hors ligne
#3 2008-06-02 11:11:56
- doudi
- Membre
- Date d'inscription: 2008-03-26
- Messages: 26
Re: Lutter contre une forme d'attaque :
ok merci, c'est ce que je venais de trouver.
Je vais l'installer de suite 
Mille merci !
doudi
EDIT : oui pour les adresses, c'est bien ça, mais bcp d'autres aussi, comme je l'indiquais, pointant vers des appli web diverses
Dernière modification par doudi (2008-06-02 11:17:44)
Hors ligne
#4 2008-06-02 11:35:15
Re: Lutter contre une forme d'attaque :
J'avais deja eu le meme type de probleme, il existe meme des logiciels payants pour developpeurs/administrateurs pour decouvrir les failles potentielles dans leux applis, et ca envoie tout betement des requettes http vers des fichiers/pages potentiellement vulterables (qu'elle existent ou pas).
Le meilleur moyen (entre autres) de securiser son/ses site(s) est de les mettre a jour regulierement, mettre un htaccess dans les endroits sensibles (admin/phpmyadmin... ), un systeme de mise en cache pour les utilisateurs non inscrits/loggés pour eviter de surcharger la base de données. Un mod pour limiter UN utilisateur qui envoie des tonnes de requettes peut penaliser tout le monde (ralebtissement, bloquage...), j'en ai connu des visiteurs (surtout les habitués) excités qui cliquent partout (ou savent où cliquer pour aller a telle ou telle rubrique).
Et puis pour les fichiers logs trop volumineux, mettre en place une rotation des logs apres traitement webalizer/awstats & co.
use Mozilla::Firefox;
open($your_mind) or die();
Hors ligne
#5 2008-06-02 14:24:01
- doudi
- Membre
- Date d'inscription: 2008-03-26
- Messages: 26
Re: Lutter contre une forme d'attaque :
bon, malgré de MOD dosevasive, le gars persiste
Je me retrouve avec, dans mes logs, des tonnes de :
[Mon Jun 2 13:46:21 2008] [error] [client 90.55.33.3] client denied by server configuration: /var/www/type911/erreur.php
le fichier erreur.php est celui auquel on est renvoyé en cas d'erreur... Du coup, le méchant est renvoyé en page d'erreur, mais continue sa surcharge
Et effectivement, comme tu le dis JalaL, le MOD genere des erreur pour les clients qui cliquent partout (mais qui sont des bons clients 
)
Alors la question est : Vaut-il mieux laisser le méchant s'énerver sans rien faire ?
(autrement dit, le mieux est-il l'ennemi du bien ?)
Je vais mettre un .htaccess dans phpmyadmin et puis j'aviserai pour virer MOD Dosevasive Si vous avez d'autres conseils/recommandations, n'hésitez pas
Merci encore, @+
doudi
Hors ligne
#6 2008-06-02 15:18:48
Re: Lutter contre une forme d'attaque :
Il faut trouver un compromis avec le mod_esasive pour justement pas pénaliser les visiteurs.
Car j'avais remarquer que si je rechargeas plusieurs fois ma page sa bloquait, tu peux mettre par exemple 30 requetes/secondes.
Il faut faire un peu des tests
Hors ligne
#7 2008-06-02 19:41:55
Re: Lutter contre une forme d'attaque :
mod_security, pas evasive !
Le mod evasive, c'est pour dropper des requêtes en cas d'attaque (ou plus si mal configuré)
Les gens normaux... croient que si ça marche, c'est qu'il n'y a rien à réparer.
Les ingénieurs croient que si ça marche, c'est que ça ne fait pas encore assez de choses.
Hors ligne
