Incontournables XHTML / CSS :
| Auteur | |
|---|---|
| ffwrude | # 19 Mar 2008 - 11:53:03  |
In Chuck Norris i trust  456 Posts |
Salut à tous. Je viens vers la communautée alsacreations pour poser une pitite question qui n'a pas trouvé de réponse chez mon "hebergeur". J'ai un serveur dédié sous Windows avec Wamp. Et dans le log d'apache j'ai des centaines(voir des miliers ou +) de "requettes" pour essayer d'accèder à mes dossiers genre :
Y'à t'il un moyen de bloquer celà ? Même partiellement (du genre : Si telle IP essaye d'accèder plus de 5fois à un fichier non éxistant, blacklister l'ip). Je ne sais pas du tout comment faire et sur le forum de mon hebergeur... personne n'à pu trouver de solutions. Peut être est-ce juste un paramètre spécial à mettre dans le PHP.ini Etant donné que ça n'à pas de rapport avec les standards je poste dans le bar  Puisque même en dehors des standards et de l'accessibilitée... Alsa regroupe une certaine quantité de fou furieux de la prog Je me suis dit que quelqu'un aurait peut être une idée Rude Modifié par ffwrude (19 Mar 2008 - 11:53) Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
  |
|
| Necromantik | # 19 Mar 2008 - 13:24:03 |
 244 Posts |
Bonjour, les solutions existent... mais je n'en connais pas pour windows (en effet les serveurs de production on plutôt tendance à tourner sous linux  ).Voici tout de même une description, ça peut toujours aider de savoir ce qu'on cherche. On utilise donc des log parser comme fail2ban (en). Leur rôle consiste à extraire les ip provoquant trop d'erreurs des log et à paramétrer le pare-feu pour les rejeter durant un certain temps. ob_end_flush(); |
|
|
| ffwrude | # 19 Mar 2008 - 13:59:55 |
In Chuck Norris i trust 456 Posts |
Je vais regarder. En effet le serveur sous windows n'est pas très courrant. Ca à ses avantages et inconveniants ... Mais ayant plusieurs personnes ne maniant pas Linux nous avons pris un windows. Je vais regarder ce que tu m'as montré. J'avais déjà fait des scripts pour lire les adresses ip du log d'apache. Si je peux coupler ca avec ton programme ca serait niquel Merci. Je tiens au courant. Rude Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
| |
|
| ffwrude | # 19 Mar 2008 - 14:20:14 |
In Chuck Norris i trust 456 Posts |
Bon je ne comprend pas comment installer ce truc sous windows  Mais via un HTACCESS directement à la racine avec des DENY ca ne fonctionnerai pas ? Bon bah j'ai fait ca. Ca me genere des trucs dans le log quand même. Mais ca empecherait à ces adresses de rentrer
Mais par contre je vais être obligé de l'executer avec une tache CRON (enfin.. planifiée). Donc je ne pourrais pas bloquer cela en temps réel... Du coup je ne sais pas si c'est vraiement utile... Qu'en penser ? Modifié par ffwrude (19 Mar 2008 - 14:38) Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
| |
|
| Necromantik | # 19 Mar 2008 - 14:40:00 |
| 244 Posts |
C'est normal qu'il ne marche pas pour windows, il est fait pour linux. C'était pour donner un exemple de ce qui est utilisé (peut-être existe-t-il un équivalent pour windows ?). Pour en revenir à ton problème, le blacklist d'ip peut se faire de plusieurs manières deny en est une relativement efficace. La meilleur reste le pare-feu car il évite la création d'un processus apache et donc la consommation de ressources (pour la paramétrage du pare-feu voir directement la documentation de celui-ci) EDIT: rapport au cron, ce n'est effectivement pas la meilleur solution. Un programme comme fail2ban est un "deamon" qui tourne en permanence et effectue donc une surveillance quasiment en temps réel. Modifié par Necromantik (19 Mar 2008 - 14:42) ob_end_flush(); |
|
|
| Florent V. | # 19 Mar 2008 - 14:43:49 |
On va manger des chips.  Modérateur 12934 Posts |
ffwrude a écrit : Fail2ban est un logiciel pour Linux. Il était cité comme exemple de solution pour ce type de problème, pas comme logiciel recommandé pour un serveur Windows. Je connais aussi Denyhosts, mais là encore c'est pour Linux. ffwrude a écrit : Ah, vous n'avez pas choisi en fonction de vos besoins techniques? Si vous avez un administrateur de serveur Windows, c'est peut-être un bon choix... mais dans ce cas tu ne posterais pas ce sujet, je suppose qu'il se serait occupé de la sécurité du serveur.  S'il n'y a aucun administrateur de serveur parmi vous, ben là il n'y a pas d'avantage particulier à utiliser Windows plutôt que Linux, dans les deux cas les problématiques de paramétrage et de sécurisation d'un serveur sont trop éloignées de l'usage «Desktop» pour que le «J'utilise Windows au quotidien» (ou «J'utilise Linux au quotidien») soit un réel critère de choix. Enfin c'est ce qu'il me semble. Je dis peut-être une bêtise. |
 |
|
| ffwrude | # 19 Mar 2008 - 14:58:26 |
In Chuck Norris i trust 456 Posts |
Et bien je n'ai rien trouvé sous windows. Un module apache appellé mod_evasive qui apparement ne tourne que sous linux.... Effectivement je n'ai rien d'un administrateur serveur (a chacun son boulot). Je comprend bien vos points de vues quand à l'utilisation de serveurs linux et windows... Mais quand vos collègues veulent se connecter en Bureau à Distance pour utiliser diverses applications ... Vous n'allez pas me dire que les pros Windows raffolle des phrases du genre : "Mais ca serait même mieux sous Linux"... Alors quand ce sont vos supérieurs.... et comme tu dis... il y'à un usage DESKTOP à ce serveur. Bref nous n'allons pas lancer une polémique. Parfois ... on doit finir sous Windows (pour la petite histoire à la base ce serveur était sous Fedora.... mais on nous l'a fait repassé en 2°°3). Bref pour en revenir à mon problème, Y'aurai t'il une alternative pour executer mon scipt en permanence ("histoire de tester... car je doute que le parcours d'un log d'erreur apache de maniere constante soit très rapide.... => donc pompage excessif de ressources"). Mais boN... faut essayer avant de savoir.... Quand au parfeu... pour l'instant j'ai WINDOWS FIREWALL ^^ (non non c'est pas vendredÿste c'est vraiement le cas je viens de voir). Modifié par ffwrude (19 Mar 2008 - 14:58) Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
| |
|
| Necromantik | # 19 Mar 2008 - 15:10:22 |
| 244 Posts |
Florent V. a écrit : Je penses que c'est vrai et faux. Faux car si on n'a jamais utilisé de ligne de commande de sa vie, une connexion ssh peut être perturbante. L'architecture (gestion des partitions, des utilisateurs) est également très différente d'un système à l'autre. Ou encore le système de registre n'existe pas vraiment sous linux. En ce sens une certaine habitude du système utilisé peut aider. Vrai car effectivement un serveur n'est pas un ordinateur de bureau, loin de là. Et il faudra de toute façon apprendre sur le tas (parfois dans la douleur) ou suivre une formation pour être à l'aise. PS @Florent, j'ai envoyé un pm il y a quelque temps, est-il arrivé ?  @ffwrude: Je penses qu'il ne faut pas mélanger les deux utilisations, si c'est un serveur publique alors il ne devrait pas servir de bureau à distance. Pour une telle application il vaudrait mieux utiliser un réseau VPN ou restreindre les accès aux seuls IPs de l'entreprise par exemple. Quitte à prendre un hébergement/serveur qui servira uniquement de serveur publique et pas à d'autres choses. <troll>Tant que c'est pas norton...</troll> Pour le script: peut-être écrire un petit programme en C en ligne de commande serait plus adapté. ob_end_flush(); |
|
|
| skywalk3r | # 19 Mar 2008 - 15:15:35 |
"Je suis son fils!!!"  333 Posts |
Je vais peut etre dire une betise mais je viens de regarder ma log apache en local (donc pas ouverts sur l'exterieur) et cette erreur "File does'nt exist" apparait beaucoup de fois (plusieurs milliers de lignes) sur quelques mois d'utilisations (3 maxi). Ma question est combien de fois environ cette erreur apparait et sur combien de temps? l'ip est - elle toujours la meme?. Si par exemple tu as un img dans une page qui pointe vers une destination qui n'existe plus (ou une feuille de style qui a bougé, un js qui a été déplacé) apache va générer cette erreur. Un utilisateur affiche cinq fois la page sur une utilisation normale et la tu le bannis parce qu'il a fait des requetes dans le vide sans le savoir (le navigateur tentant a chaque fois de rapatrier l'image)... Pareil si un lien traine sur une page ou dans le cache d'indexation d'un crawler qui betement regarder si il y a toujours quelques chose derrière l'url... le crawler va se retrouver banni... Ma remarque est donc y a-t-il vraiment lieu de s'inquiéter (suivant en effet le volume de ces erreurs en fonction du temps, quelques milliers de lignes ça n'est pas grand chose finalement pour une log d'accès)? Ne risque tu pas de bannir des IP qui font une utilisation normale de tes pages? Edit : Je dis ça parce que pendant trois quarts d'heure le logo google etait down à l'instant (mystère) et ça m'aurait déplu qu'il me bannisse parce que j'ai généré chez lui une erreur apache (bien que je ne connaisse absolument pas leur architecture  ) Modifié par skywalk3r (19 Mar 2008 - 15:23) C'est l'taaaaalent ça M'sieur dame!!! |
| |
|
| ffwrude | # 19 Mar 2008 - 15:35:28 |
In Chuck Norris i trust 456 Posts |
Disons que ce serveur sert à la base de PC pour bureau à distance et serveur FTP (la personne qui gere ca ne sait surement même pas ce qu'est une ligne de commande) et sert accèssoirement de plateforme de test et d'hebergement web. Encore une fois je ne veux pas lancer de polémique. Malheureusement le C ... c'est pas ma tasse de thé ... j'en ai fait au lycée comme tout bon programmeur. Mais ca s'arrête la
Je vais te donner une idée des "tentatives d'accès" sachant que j'en recoit entre 200 et 15000 en quelques minutes et ce d'adresses I.P. différentes =>
Je pense donc qu'il y'à lieu de s'inquietter. Enfin... je suppose. Parce que ce ne sont que des "tentatives" les quelques fois ou la personne tombe sur un fichier existant, elle est refusée... Mais dans le cas ou ca ne serait pas le cas ... je ne sais pas trop ce qui pourrait arriver Modifié par ffwrude (19 Mar 2008 - 15:39) Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
| |
|
| skywalk3r | # 19 Mar 2008 - 15:43:51 |
"Je suis son fils!!!" 333 Posts |
Je pense donc qu'il y'à lieu de s'inquietter.  Ok, là ouais ça craint. Enfin du coup c'était pour dire que 5 accès générant une erreur pour une ip sont amha trop peu pour bannir une ip. Il faut voir sur toutes ces requetes combien de fois tu vois la meme ip en moyenne pour ce genre requete brute force (très grossière soit dit en passant). En gros sur 10000 requetes combien de fois tu retrouves chaque ip en moyenne? Et en déduire un nombre max pour bannir les IP.Ca dure depuis longtemps ton soucis? C'est l'taaaaalent ça M'sieur dame!!! |
| |
|
| ffwrude | # 19 Mar 2008 - 15:52:24 |
In Chuck Norris i trust 456 Posts |
Ca dure depuis que je m' "occupe" du serveur mais je pense depuis le début. En gros j'ai fait un script comme dit plus haut. j'ai une 50aine d'IP qui peuvent faire jusqu'à 18000 tentatives d'accès (en général ca en fait 500 par "fichier" ou "dossier" qu'il tente d'accèder). Donc ces IP ne reviennent jamais (dommage ca aurait été plus facile à bloquer). Et donc ca peut être 200 fichiers tentés d'être accèder une fois. Ou la même chose x10.... Modifié par ffwrude (19 Mar 2008 - 15:52) Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
| |
|
| Necromantik | # 19 Mar 2008 - 16:43:45 |
| 244 Posts |
ffwrude a écrit : D'où mon commentaire précédent. Le mieux pour assurer la sécurité serait de consacrer ce serveur uniquement à l'entreprise (ftp/bureau) en limitant l'accès à l'ip de vos bureaux (très souvent fixe) ou en mettant en place un VPN (plus complexe). En plus de ça, prendre à part un hébergement pour les tests web. Un mutualisé ne devrait pas vraiment alourdir le budget. Par rapport au nombre de requêtes, il manque la moitié des conditions: en combien de temps. En effet peu d'humain arriverons à provoquer 5 erreurs en moins de 10s, alors que les robots de scan, eux, en provoquent plusieurs centaines à la seconde. Correctement configuré les chances de bannir un utilisateur humain avec un analyseur de log sont faibles voir nulles. ob_end_flush(); |
|
|
| ffwrude | # 19 Mar 2008 - 16:57:02 |
In Chuck Norris i trust 456 Posts |
En combien de temps ? Tu as l'heure dans mon précédent message. Tu vois que c'est presque tout à la même seconde. Mais j'ai pas tout copier MDR Oui... j'arrive à savoir quelle IP est un bot... mais je ne sais pas comment le bannir en temps réel... PS : Sympa cette nouvelle catégorie Rude Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
| |
|
| dew | # 19 Mar 2008 - 17:29:08 |
 Administrateur 716 Posts |
S'agit-il d'adresses de classes différentes ? |
| |
|
| Necromantik | # 19 Mar 2008 - 17:30:52 |
| 244 Posts |
ffwrude a écrit : C'était plus pour répondre à l'interrogation de skywalk3r par rapport aux "faux positifs". ffwrude a écrit : Pour faire ça il n'y a pas de miracle, il faut un programme qui tourne en permanence et se charge d'effectuer une vérification toutes les 10s par exemple (pas aisément réalisable en php). Tiens en fait il existe un module d'apache dédié à la sécurité en général (mod_security), je sais pas s'il peut gérer ce genre de situation mais peut-être bien. EDIT: les binaires pour windows se trouvent sur apachelounge (en) ainsi que d'autres infos. Modifié par Necromantik (19 Mar 2008 - 17:32) ob_end_flush(); |
|
|
| ffwrude | # 19 Mar 2008 - 17:31:42 |
In Chuck Norris i trust 456 Posts |
Voici une liste d'adresses (écourtée). Si cette liste est déplacée sur alsa merci de me le signaler.
Modifié par Felipe (11 Apr 2008 - 21:51) Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
| |
|
| CPascal | # 19 Mar 2008 - 17:43:35 |
ca represente ... ... rien  757 Posts |
baf j'en ai essayé 3 pour voir avec nslookup. je ne suis pas assez expert réseau pour dire si c'est significatif il venait tous d'un même serveur ou y etait marqué dns3 quelquechose. l'un deux avait un nom explicite une machine de statistiques.... tous ces accés sont peut-être "normaux". où alors je suis trop gogo et je me fais avoir. Modifié par CPascal (19 Mar 2008 - 19:52) je m'en vais resoudre ce sacré schimliblibli .... schimilili... schmilbl.. hic. |
|
|
| ffwrude | # 19 Mar 2008 - 17:51:35 |
In Chuck Norris i trust 456 Posts |
Un accès normal de 18000 tentatives d'accès à des "suposés" dossiers admins ? Non je ne pense pas CPascal. J'avais essayé aussi plusieurs serveurs. Je suis tombé sur des sites allemands, et sur un site de warez... Je suis en train de regarder le module_security pour wamp. Je vous tiens au courant. Moi je suis né un Vendredÿ... Mais je crois que ça se voit ... |
| |
|
| Felipe | # 11 Apr 2008 - 21:57:55 |
 Administrateur 4664 Posts |
ffwrude a écrit : Bonne question que je vois tardivement. Hypothèses: - la plupart de ces IP correspondent probablement à des machines zombies; le proprio n'est coupable que de négligence ... - celles qui n'en sont pas à des hackers imbéciles faisant leurs tentatives depuis leur propre machine  Qu'un humain recopie ces IP, euh je me demande ce qu'il en ferait? En prendre le contrôle est facile si ce sont des zombies mais le 1er hacker qui en a pris le contrôle risque de peu apprécier ... Qu'un bot essaie de trouver des chaînes correspondant à des IP 123.123.123.123, ça peut exister: un simple caractère alphabétique en plein milieu suffit à empêcher cela, j'ai donc édité ton message. Modifié par Felipe (11 Apr 2008 - 21:59) Concours d'octobre : LOGO sans tortue |
|
|
[client XXX.XXX.XX.XX] File does not exist: D:/wamp/www/phpMyAdmin-2.6.4-pl1
Les références web : openweb.eu.org - opquast.com - webmaster-hub.com - webrankinfo.com - salemioche.net - web-pour-tous.org - webonorme.org
Nos partenaires : Editions Eyrolles
Nikozen : Hébergement - Réalisation : Alsacreations.fr