PHWinfo - Afficher un message

27/11/2005, 16h56

DenisG wrote:
> Bonjour à tous
Bonjour

> J'ai un petit serveur web perso apache2 sur une Debian et des attaques
> régulières venant de script-kiddies ou de machines windows infectées.
> Normalement je suis tranquille, je fais mon apt-get update/upgrade très
> souvent (pas tous les jours mais presque), mais je scrute quand même mes
> logs apache pour envoyer les extraits aux services abuse des FAI
> concernés (Free 80%).
Bof, je ne me casse pas la tête avec ça... Je me contente de maintenir mon
système à jour et de jeter un oeil à mes logs. mod_security se débarasse
des sk et vers tout seul, en général un toutes les 2 min, plusieurs par min
les week-ends en soirée.
J'inspecte plus mes access.log et error.log à la recherche d'anomalies que
mod_sec aurait laissé passé. genre:
- 404,
- 20x + url/uri qui ne colle pas avec la normale avec quelques regexps sur
les param/methodes cgi acceptables par les scripts (POST sur un cgi qui
ne prend que du GET, lettres dans un param numérique uniquement par ex)
- robots qui ne lisent pas le robot.txt. Ca vole direct dans .htaccess.

Les 'abuse reports' je les reserve pour les neuneus les plus aggressifs
(plus de 150 tentatives) qui jouent avec ssh.
Et encore souvant décevant j'ai cru une fois recevoir une reponse
personnalisée d'un FAI mais pas de bol, tout était scripté! Je m'en suis
apperçu au 2ème rapport, la réponse était envoyée exactement 240 min après
avoir reçu le rapport...

Un autre exemple de FAI très actif sur les rapports d'abuse:
Date: Sat, 7 Jun 2003 14:16:03 +0200
: This is an abuse notice meaning that one of your machines might
: be infected with a virus and is trying to infect other machines.
:
: See http://www.dshield.org/ for more information

We don't care, the major issue is that we don't want to receive this kind of
mail, because we're a large ISP and we have no control about our multiple
clients and their Windows systems.
Your mail was annoying, so we simply filtered it out. We know that many of
them are infected even if we don't receive your mail.

Réf: http://www.dshield.org/fightback_results.php

> Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier à
> côté), d'après vous ça sert vraiment à quelque chose? Combien d'entre
> vous le font? Avez-vous une technique particulière pour ça? (mes scripts
> bash ne sont pas encore très optimisés!)
Te casse pas la tête et profite de la vie! Désactive ce qui ne sert pas,
repère les UA les plus chiants et met les dans ton .htaccess pour alléger
ta bande passante, c'est pas pour le peu de CPU que ça bouffe; en
particulier ^$ (UA vide) tu degage 99.9% des vers... Filter les requètes
sur l'IP du serveur (http://1.2.3.4) en dégage un sacré paquet aussi.

A+
--
MaXX

27/11/2005, 16h56	#2
MaXX Messages: n/a Hébergeur:	Re: recherches des tentatives d'attaques DenisG wrote: > Bonjour à tous Bonjour > J'ai un petit serveur web perso apache2 sur une Debian et des attaques > régulières venant de script-kiddies ou de machines windows infectées. > Normalement je suis tranquille, je fais mon apt-get update/upgrade très > souvent (pas tous les jours mais presque), mais je scrute quand même mes > logs apache pour envoyer les extraits aux services abuse des FAI > concernés (Free 80%). Bof, je ne me casse pas la tête avec ça... Je me contente de maintenir mon système à jour et de jeter un oeil à mes logs. mod_security se débarasse des sk et vers tout seul, en général un toutes les 2 min, plusieurs par min les week-ends en soirée. J'inspecte plus mes access.log et error.log à la recherche d'anomalies que mod_sec aurait laissé passé. genre: - 404, - 20x + url/uri qui ne colle pas avec la normale avec quelques regexps sur les param/methodes cgi acceptables par les scripts (POST sur un cgi qui ne prend que du GET, lettres dans un param numérique uniquement par ex) - robots qui ne lisent pas le robot.txt. Ca vole direct dans .htaccess. Les 'abuse reports' je les reserve pour les neuneus les plus aggressifs (plus de 150 tentatives) qui jouent avec ssh. Et encore souvant décevant j'ai cru une fois recevoir une reponse personnalisée d'un FAI mais pas de bol, tout était scripté! Je m'en suis apperçu au 2ème rapport, la réponse était envoyée exactement 240 min après avoir reçu le rapport... Un autre exemple de FAI très actif sur les rapports d'abuse: Date: Sat, 7 Jun 2003 14:16:03 +0200 : This is an abuse notice meaning that one of your machines might : be infected with a virus and is trying to infect other machines. : : See http://www.dshield.org/ for more information We don't care, the major issue is that we don't want to receive this kind of mail, because we're a large ISP and we have no control about our multiple clients and their Windows systems. Your mail was annoying, so we simply filtered it out. We know that many of them are infected even if we don't receive your mail. Réf: http://www.dshield.org/fightback_results.php > Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier à > côté), d'après vous ça sert vraiment à quelque chose? Combien d'entre > vous le font? Avez-vous une technique particulière pour ça? (mes scripts > bash ne sont pas encore très optimisés!) Te casse pas la tête et profite de la vie! Désactive ce qui ne sert pas, repère les UA les plus chiants et met les dans ton .htaccess pour alléger ta bande passante, c'est pas pour le peu de CPU que ça bouffe; en particulier ^$ (UA vide) tu degage 99.9% des vers... Filter les requètes sur l'IP du serveur (http://1.2.3.4) en dégage un sacré paquet aussi. A+ -- MaXX