recherches des tentatives d'attaques

27/11/2005, 14h45

Bonjour à tous

J'ai un petit serveur web perso apache2 sur une Debian et des attaques
régulières venant de script-kiddies ou de machines windows infectées.
Normalement je suis tranquille, je fais mon apt-get update/upgrade très
souvent (pas tous les jours mais presque), mais je scrute quand même mes
logs apache pour envoyer les extraits aux services abuse des FAI
concernés (Free 80%).

Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier à
côté), d'après vous ça sert vraiment à quelque chose? Combien d'entre
vous le font? Avez-vous une technique particulière pour ça? (mes scripts
bash ne sont pas encore très optimisés!)

--
DenisG

Site perso --> http://www.denisg.fr.to
Miam! --> http://fermedelangle.com

27/11/2005, 16h56

DenisG wrote:
> Bonjour à tous
Bonjour

> J'ai un petit serveur web perso apache2 sur une Debian et des attaques
> régulières venant de script-kiddies ou de machines windows infectées.
> Normalement je suis tranquille, je fais mon apt-get update/upgrade très
> souvent (pas tous les jours mais presque), mais je scrute quand même mes
> logs apache pour envoyer les extraits aux services abuse des FAI
> concernés (Free 80%).
Bof, je ne me casse pas la tête avec ça... Je me contente de maintenir mon
système à jour et de jeter un oeil à mes logs. mod_security se débarasse
des sk et vers tout seul, en général un toutes les 2 min, plusieurs par min
les week-ends en soirée.
J'inspecte plus mes access.log et error.log à la recherche d'anomalies que
mod_sec aurait laissé passé. genre:
- 404,
- 20x + url/uri qui ne colle pas avec la normale avec quelques regexps sur
les param/methodes cgi acceptables par les scripts (POST sur un cgi qui
ne prend que du GET, lettres dans un param numérique uniquement par ex)
- robots qui ne lisent pas le robot.txt. Ca vole direct dans .htaccess.

Les 'abuse reports' je les reserve pour les neuneus les plus aggressifs
(plus de 150 tentatives) qui jouent avec ssh.
Et encore souvant décevant j'ai cru une fois recevoir une reponse
personnalisée d'un FAI mais pas de bol, tout était scripté! Je m'en suis
apperçu au 2ème rapport, la réponse était envoyée exactement 240 min après
avoir reçu le rapport...

Un autre exemple de FAI très actif sur les rapports d'abuse:
Date: Sat, 7 Jun 2003 14:16:03 +0200
: This is an abuse notice meaning that one of your machines might
: be infected with a virus and is trying to infect other machines.
:
: See http://www.dshield.org/ for more information

We don't care, the major issue is that we don't want to receive this kind of
mail, because we're a large ISP and we have no control about our multiple
clients and their Windows systems.
Your mail was annoying, so we simply filtered it out. We know that many of
them are infected even if we don't receive your mail.

Réf: http://www.dshield.org/fightback_results.php

> Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier à
> côté), d'après vous ça sert vraiment à quelque chose? Combien d'entre
> vous le font? Avez-vous une technique particulière pour ça? (mes scripts
> bash ne sont pas encore très optimisés!)
Te casse pas la tête et profite de la vie! Désactive ce qui ne sert pas,
repère les UA les plus chiants et met les dans ton .htaccess pour alléger
ta bande passante, c'est pas pour le peu de CPU que ça bouffe; en
particulier ^$ (UA vide) tu degage 99.9% des vers... Filter les requètes
sur l'IP du serveur (http://1.2.3.4) en dégage un sacré paquet aussi.

A+
--
MaXX

27/11/2005, 23h03

DenisG égrapsen en <4389c6c0$0$11114$626a14ce@news.free.fr>:

> J'ai un petit serveur web perso apache2 sur une Debian et des
> attaques régulières venant de script-kiddies ou de machines windows
> infectées. Normalement je suis tranquille, je fais mon apt-get
> update/upgrade très souvent (pas tous les jours mais presque), mais
> je scrute quand même mes logs apache pour envoyer les extraits aux
> services abuse des FAI concernés (Free 80%).

Si vous voulez ne pas trop perdre de temps à scruter les logs,
installez fwlogwatch, qui le fera pour vous et vous enverra chaque
jour (ou plus, ou moins) un compte-rendu de ce qu'il y a de plus
notable à voir.

Voilà par exemple le compte-rendu d'hier pour mon serveur Apache2:
--------------------- httpd Begin ------------------------

2.97 MB transfered in 603 responses (1xx 0, 2xx 513, 3xx 37, 4xx
53, 5xx 0)
207 Images (0.43 MB),
388 Content pages (2.54 MB),
7 Redirects (0.00 MB),
1 Other (0.00 MB)

Requests with error response codes
401 Unauthorized
/phpmyadmin: 1 Time(s)
404 Not Found
/images/favicon.ico: 2 Time(s)
406 Not Acceptable
/: 47 Time(s)

A total of 1 ROBOTS were logged

---------------------- httpd End -------------------------

C'est largement suffisant.

28/11/2005, 20h42

MaXX a écrit :
> DenisG wrote:
>
>> Bonjour à tous
>
> Bonjour
>
>
>> J'ai un petit serveur web perso apache2 sur une Debian et des
>> attaques régulières venant de script-kiddies ou de machines windows
>> infectées. Normalement je suis tranquille, je fais mon apt-get
>> update/upgrade très souvent (pas tous les jours mais presque), mais
>> je scrute quand même mes logs apache pour envoyer les extraits aux
>> services abuse des FAI concernés (Free 80%).
>
> Bof, je ne me casse pas la tête avec ça... Je me contente de
> maintenir mon système à jour et de jeter un oeil à mes logs.
> mod_security se débarasse des sk et vers tout seul, en général un
> toutes les 2 min, plusieurs par min les week-ends en soirée.

J'en ai pas autant, je n'héberge que trois petits sites persos, 500
connexions/jour maxi

> J'inspecte plus mes access.log et error.log à la recherche
> d'anomalies que mod_sec aurait laissé passé. genre: - 404, - 20x +
> url/uri qui ne colle pas avec la normale ...

Tiens justement j'en ai eu (juste 2 ou 3 fois) des url complètement
fantaisistes, je me suis demandé comment ça peut arriver chez moi, il
faut qu'un DNS quelque part ait associé cette url avec mon IP, comment
ça se fait?

> Les 'abuse reports' je les reserve pour les neuneus les plus
> aggressifs (plus de 150 tentatives) qui jouent avec ssh. Et encore
> souvant décevant j'ai cru une fois recevoir une reponse personnalisée
> d'un FAI mais pas de bol, tout était scripté! Je m'en suis apperçu au
> 2ème rapport, la réponse était envoyée exactement 240 min après avoir
> reçu le rapport...
....

Même déception, ceux qui répondent c'est pour dire qu'ils n'ont pas
assez d'infos ou autre chose à faire!

>> Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier
>> à côté), d'après vous ça sert vraiment à quelque chose? Combien
>> d'entre vous le font? Avez-vous une technique particulière pour ça?
>> (mes scripts bash ne sont pas encore très optimisés!)
>
> Te casse pas la tête et profite de la vie! Désactive ce qui ne sert
> pas, repère les UA les plus chiants et met les dans ton .htaccess
> pour alléger ta bande passante, c'est pas pour le peu de CPU que ça
> bouffe; en particulier ^$ (UA vide) tu degage 99.9% des vers...
> Filter les requètes sur l'IP du serveur (http://1.2.3.4) en dégage un
> sacré paquet aussi.
>
> A+

Merci pour ta réponse et tes conseils

--
DenisG

Site perso --> http://www.denisg.fr.to
Miam! --> http://fermedelangle.com

28/11/2005, 20h46

Vincent Ramos a écrit :
> Si vous voulez ne pas trop perdre de temps à scruter les logs,
> installez fwlogwatch, qui le fera pour vous et vous enverra chaque
> jour (ou plus, ou moins) un compte-rendu de ce qu'il y a de plus
> notable à voir.
....
> C'est largement suffisant.

Ces infos je les ai avec awstats, merci quand même pour ta réponse.

--
DenisG

Site perso --> http://www.denisg.fr.to
Miam! --> http://fermedelangle.com

27/11/2005, 14h45	#1
DenisG Messages: n/a Hébergeur:	recherches des tentatives d'attaques Bonjour à tous J'ai un petit serveur web perso apache2 sur une Debian et des attaques régulières venant de script-kiddies ou de machines windows infectées. Normalement je suis tranquille, je fais mon apt-get update/upgrade très souvent (pas tous les jours mais presque), mais je scrute quand même mes logs apache pour envoyer les extraits aux services abuse des FAI concernés (Free 80%). Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier à côté), d'après vous ça sert vraiment à quelque chose? Combien d'entre vous le font? Avez-vous une technique particulière pour ça? (mes scripts bash ne sont pas encore très optimisés!) -- DenisG Site perso --> http://www.denisg.fr.to Miam! --> http://fermedelangle.com

27/11/2005, 16h56	#2
MaXX Messages: n/a Hébergeur:	Re: recherches des tentatives d'attaques DenisG wrote: > Bonjour à tous Bonjour > J'ai un petit serveur web perso apache2 sur une Debian et des attaques > régulières venant de script-kiddies ou de machines windows infectées. > Normalement je suis tranquille, je fais mon apt-get update/upgrade très > souvent (pas tous les jours mais presque), mais je scrute quand même mes > logs apache pour envoyer les extraits aux services abuse des FAI > concernés (Free 80%). Bof, je ne me casse pas la tête avec ça... Je me contente de maintenir mon système à jour et de jeter un oeil à mes logs. mod_security se débarasse des sk et vers tout seul, en général un toutes les 2 min, plusieurs par min les week-ends en soirée. J'inspecte plus mes access.log et error.log à la recherche d'anomalies que mod_sec aurait laissé passé. genre: - 404, - 20x + url/uri qui ne colle pas avec la normale avec quelques regexps sur les param/methodes cgi acceptables par les scripts (POST sur un cgi qui ne prend que du GET, lettres dans un param numérique uniquement par ex) - robots qui ne lisent pas le robot.txt. Ca vole direct dans .htaccess. Les 'abuse reports' je les reserve pour les neuneus les plus aggressifs (plus de 150 tentatives) qui jouent avec ssh. Et encore souvant décevant j'ai cru une fois recevoir une reponse personnalisée d'un FAI mais pas de bol, tout était scripté! Je m'en suis apperçu au 2ème rapport, la réponse était envoyée exactement 240 min après avoir reçu le rapport... Un autre exemple de FAI très actif sur les rapports d'abuse: Date: Sat, 7 Jun 2003 14:16:03 +0200 : This is an abuse notice meaning that one of your machines might : be infected with a virus and is trying to infect other machines. : : See http://www.dshield.org/ for more information We don't care, the major issue is that we don't want to receive this kind of mail, because we're a large ISP and we have no control about our multiple clients and their Windows systems. Your mail was annoying, so we simply filtered it out. We know that many of them are infected even if we don't receive your mail. Réf: http://www.dshield.org/fightback_results.php > Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier à > côté), d'après vous ça sert vraiment à quelque chose? Combien d'entre > vous le font? Avez-vous une technique particulière pour ça? (mes scripts > bash ne sont pas encore très optimisés!) Te casse pas la tête et profite de la vie! Désactive ce qui ne sert pas, repère les UA les plus chiants et met les dans ton .htaccess pour alléger ta bande passante, c'est pas pour le peu de CPU que ça bouffe; en particulier ^$ (UA vide) tu degage 99.9% des vers... Filter les requètes sur l'IP du serveur (http://1.2.3.4) en dégage un sacré paquet aussi. A+ -- MaXX

27/11/2005, 23h03	#3
Vincent Ramos Messages: n/a Hébergeur:	Re: recherches des tentatives d'attaques DenisG égrapsen en <4389c6c0$0$11114$626a14ce@news.free.fr>: > J'ai un petit serveur web perso apache2 sur une Debian et des > attaques régulières venant de script-kiddies ou de machines windows > infectées. Normalement je suis tranquille, je fais mon apt-get > update/upgrade très souvent (pas tous les jours mais presque), mais > je scrute quand même mes logs apache pour envoyer les extraits aux > services abuse des FAI concernés (Free 80%). Si vous voulez ne pas trop perdre de temps à scruter les logs, installez fwlogwatch, qui le fera pour vous et vous enverra chaque jour (ou plus, ou moins) un compte-rendu de ce qu'il y a de plus notable à voir. Voilà par exemple le compte-rendu d'hier pour mon serveur Apache2: --------------------- httpd Begin ------------------------ 2.97 MB transfered in 603 responses (1xx 0, 2xx 513, 3xx 37, 4xx 53, 5xx 0) 207 Images (0.43 MB), 388 Content pages (2.54 MB), 7 Redirects (0.00 MB), 1 Other (0.00 MB) Requests with error response codes 401 Unauthorized /phpmyadmin: 1 Time(s) 404 Not Found /images/favicon.ico: 2 Time(s) 406 Not Acceptable /: 47 Time(s) A total of 1 ROBOTS were logged ---------------------- httpd End ------------------------- C'est largement suffisant.

28/11/2005, 20h42	#4
DenisG Messages: n/a Hébergeur:	Re: recherches des tentatives d'attaques MaXX a écrit : > DenisG wrote: > >> Bonjour à tous > > Bonjour > > >> J'ai un petit serveur web perso apache2 sur une Debian et des >> attaques régulières venant de script-kiddies ou de machines windows >> infectées. Normalement je suis tranquille, je fais mon apt-get >> update/upgrade très souvent (pas tous les jours mais presque), mais >> je scrute quand même mes logs apache pour envoyer les extraits aux >> services abuse des FAI concernés (Free 80%). > > Bof, je ne me casse pas la tête avec ça... Je me contente de > maintenir mon système à jour et de jeter un oeil à mes logs. > mod_security se débarasse des sk et vers tout seul, en général un > toutes les 2 min, plusieurs par min les week-ends en soirée. J'en ai pas autant, je n'héberge que trois petits sites persos, 500 connexions/jour maxi > J'inspecte plus mes access.log et error.log à la recherche > d'anomalies que mod_sec aurait laissé passé. genre: - 404, - 20x + > url/uri qui ne colle pas avec la normale ... Tiens justement j'en ai eu (juste 2 ou 3 fois) des url complètement fantaisistes, je me suis demandé comment ça peut arriver chez moi, il faut qu'un DNS quelque part ait associé cette url avec mon IP, comment ça se fait? > Les 'abuse reports' je les reserve pour les neuneus les plus > aggressifs (plus de 150 tentatives) qui jouent avec ssh. Et encore > souvant décevant j'ai cru une fois recevoir une reponse personnalisée > d'un FAI mais pas de bol, tout était scripté! Je m'en suis apperçu au > 2ème rapport, la réponse était envoyée exactement 240 min après avoir > reçu le rapport... .... Même déception, ceux qui répondent c'est pour dire qu'ils n'ont pas assez d'infos ou autre chose à faire! >> Tout ça me prend pas mal de temps (j'ai aussi une vie et un métier >> à côté), d'après vous ça sert vraiment à quelque chose? Combien >> d'entre vous le font? Avez-vous une technique particulière pour ça? >> (mes scripts bash ne sont pas encore très optimisés!) > > Te casse pas la tête et profite de la vie! Désactive ce qui ne sert > pas, repère les UA les plus chiants et met les dans ton .htaccess > pour alléger ta bande passante, c'est pas pour le peu de CPU que ça > bouffe; en particulier ^$ (UA vide) tu degage 99.9% des vers... > Filter les requètes sur l'IP du serveur (http://1.2.3.4) en dégage un > sacré paquet aussi. > > A+ Merci pour ta réponse et tes conseils -- DenisG Site perso --> http://www.denisg.fr.to Miam! --> http://fermedelangle.com

28/11/2005, 20h46	#5
DenisG Messages: n/a Hébergeur:	Re: recherches des tentatives d'attaques Vincent Ramos a écrit : > Si vous voulez ne pas trop perdre de temps à scruter les logs, > installez fwlogwatch, qui le fera pour vous et vous enverra chaque > jour (ou plus, ou moins) un compte-rendu de ce qu'il y a de plus > notable à voir. .... > C'est largement suffisant. Ces infos je les ai avec awstats, merci quand même pour ta réponse. -- DenisG Site perso --> http://www.denisg.fr.to Miam! --> http://fermedelangle.com

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email