OVH Community, votre nouvel espace communautaire.

Logwatch : A total of 24620 sites probed the server


Me.B
26/04/2015, 09h47
Sinon pense a mettre ton site derriére cloudflare ça peut aider pas mal, car il va bloquer pas mal de basar et rajoute mod_security et quelques bon rules a jour.

M B

janus57
25/04/2015, 08h00
Bonjour,

Je n'ai pas trouvé Findtime par contre.
tant mieux en général faut pas trop le toucher.

Sinon le bantime peu facilement être passé à :
Code:
bantime = 604800
soit 1semaine de bann et là normalement logwatch sera encore plus calme que avec un simple bantime à 600

Cordialement, janus57

ManuTOO
25/04/2015, 07h27
@janus57,
jail.conf [DEFAULT] a :
bantime = 600
alors je viens de mettre dans jail.local [DEFAULT] :
bantime = 6000

Je n'ai pas trouvé Findtime par contre.

Mais mon souci s'est résolu : c'était probablement du à des spammeurs qui tentaient de poster sur mon forum. J'ai fait tout un tas de trucs pour éviter les fâcheuses conséquences (ie: le ralentissement du serveur) et maintenant Logwatch est revenu à la normale...

VarioFlux
20/04/2015, 19h48
Ha oui, moi je met un bantime = 31556926
ça me laisse le temps de siffler... au moins un pastis :-D

janus57
20/04/2015, 19h16
Bonjour,

question con le bantime de fail2ban est sur combien ? et le findtime ?

Car bon quand je vois ceci :
apache-overflows: [28049:28049]
sa semble être un bantime de 5/10 minutes ou la personne (enfin le robot) reviens en boucle, sauf si c'est réellement 28049 serveurs et là ce serait un DDoS que le VAC aurait détecté et nettoyé (normalement).

Cordialement, janus57

VarioFlux
20/04/2015, 18h23
ha la vache : siffler n'a pas été suffisant ?

ManuTOO
03/02/2015, 06h04
Bonjour,

avant le 18 janvier dernier, Logwatch m'indiquait chaque jour autour de 15-20 "sites probed the server" ; le 18 janvier, il y en a eu 14'130, et ensuite au moins 1 jour sur 2 il y en a eu des milliers, avec un record à 24'620.
24'620, ça ressemble à un DDOS, en tout cas, ça a bien ralenti mon serveur pendant quelques heures.

Mon site est correctement sécurisé (en tout cas à la vue de mes connaissances: clé ssh, port ssh changé, virtualmin à jour, etc...), et il n'y a pas eu de signe de prise de contrôle (activité CPU normale, & mon site fonctionne normalement).

Apparemment, c'est principalement des Apache Overflow :
--------------------- fail2ban-messages Begin ------------------------


Banned services with Fail2Ban: Bans:Unbans
apache-overflows: [28049:28049]
postfix: [ 3:3 ]
proftpd: [ 2:2 ]
Qu'est-ce que je peux/dois faire ? Je m'inquiète ? Je panique ? J'ai bien essayé de hurler en courant en rond dans mon salon puis de siffler comme un con, mais ça n'a pas eu d'effet...

Merci d'avance pour tout commentaire ou suggestion !