PHWinfo - Afficher un message

28/11/2005, 20h42

MaXX a écrit :
> DenisG wrote:
>
>> Bonjour à tous
>
> Bonjour
>
>
>> J'ai un petit serveur web perso apache2 sur une Debian et des
>> attaques régulières venant de script-kiddies ou de machines windows
>> infectées. Normalement je suis tranquille, je fais mon apt-get
>> update/upgrade très souvent (pas tous les jours mais presque), mais
>> je scrute quand même mes logs apache pour envoyer les extraits aux
>> services abuse des FAI concernés (Free 80%).
>
> Bof, je ne me casse pas la tête avec ça... Je me contente de
> maintenir mon système à jour et de jeter un oeil à mes logs.
> mod_security se débarasse des sk et vers tout seul, en général un
> toutes les 2 min, plusieurs par min les week-ends en soirée.

J'en ai pas autant, je n'héberge que trois petits sites persos, 500
connexions/jour maxi

> J'inspecte plus mes access.log et error.log à la recherche
> d'anomalies que mod_sec aurait laissé passé. genre: - 404, - 20x +
> url/uri qui ne colle pas avec la normale ...

Tiens justement j'en ai eu (juste 2 ou 3 fois) des url complètement
fantaisistes, je me suis demandé comment ça peut arriver chez moi, il
faut qu'un DNS quelque part ait associé cette url avec mon IP, comment
ça se fait?

> Les 'abuse reports' je les reserve pour les neuneus les plus
> aggressifs (plus de 150 tentatives) qui jouent avec ssh. Et encore
> souvant décevant j'ai cru une fois recevoir une reponse personnalisée
> d'un FAI mais pas de bol, tout était scripté! Je m'en suis apperçu au
> 2ème rapport, la réponse était envoyée exactement 240 min après avoir
> reçu le rapport...
....

Même déception, ceux qui répondent c'est pour dire qu'ils n'ont pas
assez d'infos ou autre chose à faire!

>> Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier
>> à côté), d'après vous ça sert vraiment à quelque chose? Combien
>> d'entre vous le font? Avez-vous une technique particulière pour ça?
>> (mes scripts bash ne sont pas encore très optimisés!)
>
> Te casse pas la tête et profite de la vie! Désactive ce qui ne sert
> pas, repère les UA les plus chiants et met les dans ton .htaccess
> pour alléger ta bande passante, c'est pas pour le peu de CPU que ça
> bouffe; en particulier ^$ (UA vide) tu degage 99.9% des vers...
> Filter les requètes sur l'IP du serveur (http://1.2.3.4) en dégage un
> sacré paquet aussi.
>
> A+

Merci pour ta réponse et tes conseils

--
DenisG

Site perso --> http://www.denisg.fr.to
Miam! --> http://fermedelangle.com

28/11/2005, 20h42	#4
DenisG Messages: n/a Hébergeur:	Re: recherches des tentatives d'attaques MaXX a écrit : > DenisG wrote: > >> Bonjour à tous > > Bonjour > > >> J'ai un petit serveur web perso apache2 sur une Debian et des >> attaques régulières venant de script-kiddies ou de machines windows >> infectées. Normalement je suis tranquille, je fais mon apt-get >> update/upgrade très souvent (pas tous les jours mais presque), mais >> je scrute quand même mes logs apache pour envoyer les extraits aux >> services abuse des FAI concernés (Free 80%). > > Bof, je ne me casse pas la tête avec ça... Je me contente de > maintenir mon système à jour et de jeter un oeil à mes logs. > mod_security se débarasse des sk et vers tout seul, en général un > toutes les 2 min, plusieurs par min les week-ends en soirée. J'en ai pas autant, je n'héberge que trois petits sites persos, 500 connexions/jour maxi > J'inspecte plus mes access.log et error.log à la recherche > d'anomalies que mod_sec aurait laissé passé. genre: - 404, - 20x + > url/uri qui ne colle pas avec la normale ... Tiens justement j'en ai eu (juste 2 ou 3 fois) des url complètement fantaisistes, je me suis demandé comment ça peut arriver chez moi, il faut qu'un DNS quelque part ait associé cette url avec mon IP, comment ça se fait? > Les 'abuse reports' je les reserve pour les neuneus les plus > aggressifs (plus de 150 tentatives) qui jouent avec ssh. Et encore > souvant décevant j'ai cru une fois recevoir une reponse personnalisée > d'un FAI mais pas de bol, tout était scripté! Je m'en suis apperçu au > 2ème rapport, la réponse était envoyée exactement 240 min après avoir > reçu le rapport... .... Même déception, ceux qui répondent c'est pour dire qu'ils n'ont pas assez d'infos ou autre chose à faire! >> Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier >> à côté), d'après vous ça sert vraiment à quelque chose? Combien >> d'entre vous le font? Avez-vous une technique particulière pour ça? >> (mes scripts bash ne sont pas encore très optimisés!) > > Te casse pas la tête et profite de la vie! Désactive ce qui ne sert > pas, repère les UA les plus chiants et met les dans ton .htaccess > pour alléger ta bande passante, c'est pas pour le peu de CPU que ça > bouffe; en particulier ^$ (UA vide) tu degage 99.9% des vers... > Filter les requètes sur l'IP du serveur (http://1.2.3.4) en dégage un > sacré paquet aussi. > > A+ Merci pour ta réponse et tes conseils -- DenisG Site perso --> http://www.denisg.fr.to Miam! --> http://fermedelangle.com