OVH Community, votre nouvel espace communautaire.

Solution pour exclure ip issue de certaines FAI


Sissaow
22/06/2015, 09h13
Ok merci pour les réponses, je vais faire la solution fail2ban pour wootwoot... Ca à l'air la plus logique... Pour le reste effectivement ce n'est qu'une ligne de plus dans les logs

bbr18
19/06/2015, 13h42
Pour w00tw00 je rajoute cette jail
/etc/fail2ban/filter.d/apache-w00tw00t.conf
Code:
[Definition]
# Option:  failregex
# Notes.:  regex to match the w00tw00t scan messages in the logfile. The
#          host must be matched by a group named "host". The tag "" can
#          be used for standard IP/hostname matching.
# Values:  TEXT
failregex = ^ -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*
# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
ignoreregex =
et dans /etc/fail2ban/jail.conf
Code:
[apache-w00tw00t]
enabled = true
filter  = apache-w00tw00t
port = all
banaction = iptables-allports
port     = anyport
#pour Debian
logpath  = /var/log/apache*/access.log
#si utilisation de virtualmin on ajoute
logpath  = /var/log/virtualmin/*_access_log
#pour release 3
logpath = /var/log/httpd/access_log
logpath = /var/log/httpd/*-access_log
#un seul essai
maxretry = 1
#bannissement long, environ 15 jours
bantime = 1264000
et on relance fail2ban
Code:
/etc/init.d/fail2ban stop
/etc/init.d/fail2ban start

janus57
19/06/2015, 13h04
Bonjour,

pour le blocage de wOOtwOOt par iptables c'est déconseillé il me semble, une personne avait fait le test sur le forum KS (il me semble...) et a trouvé que via IPTables les perfs global du serveur commencé à souffrir si on abusé des règles de scan du trafic (comme celle pour trouver les w00tw00t).

Donc pour du "simple" wOOtwOOt fail2ban est plus performant (il analyse les logs et le bann IP point barre).

Pour fail2ban c'est une petite sécurité en plus mais surtout efficace pour les connections ssh, ftp etc... les ip sont bannies après coup mais c'est suffisant pour qu'un robot qui change d'ip à chaque fois pour une attaque brut ne parvienne pas à ses fins.
Si il est bien configuré on s'en fou un peu que la robot se fasse bannir à la 1ière tentative ou la 8 ième (selon la configuration), la finalité et de le stopper pour une durée +/- longue.
Et aussi l'avantage de fail2ban c'est que si le serveur est bien config ces scans de robos n'auront aucun effet (enfin sa dépend de la config) à part rajouter une ligne dans les logs avant le bann par fail2ban.

Cordialement, janus57

Sissaow
19/06/2015, 09h38
Intéressant le truc pour wootwoot, et il peut aussi s'appliquer pour identifier ceux qui cherche un /wordpress /jenkins, etc... à la racine d'ovh. Certe ça n'abouti jamais puisque je n'ai rien à la racine d'ovh mais c'est énervant de voir ça dans les logs. Je vais essayer cette cuisine.

Pour fail2ban c'est une petite sécurité en plus mais surtout efficace pour les connections ssh, ftp etc... les ip sont bannies après coup mais c'est suffisant pour qu'u,n robot qui change d'ip à chaque fois pour une attaque brut ne parvienne pas à ses fins.

Je test les règles iptables et merci pour le lien

sd82979
17/06/2015, 16h17
méthode générique pour wOOtwOOt http://spamcleaner.org/fr/misc/w00tw00t2.html

sinon +1 failtoban

janus57
17/06/2015, 14h15
Bonjour,

fail2ban est la solution magique et fera le ménage, faut juste bien le configurer et mettre un maximum de service sur fail2ban.

Cordialement, janus57

Sissaow
17/06/2015, 14h03
Bonjour,

j'ai vu dans mes log apache que régulièrement des tentative de connexion sont faites avec des noms de répertoire classique que l'on trouve sur les site... Les attaques testent si par hasard je n'ai pas ceci ou cela sur mon serveur exemple :

[Wed Jun 17 02:02:22 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/sql
[Wed Jun 17 02:02:22 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/phpmyadmin
[Wed Jun 17 02:02:23 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/mysql
[Wed Jun 17 02:02:23 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/sql
[Wed Jun 17 02:02:23 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/myadmin
[Wed Jun 17 02:02:24 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/phpMyAdmin-4.2.1-all-languages
[Wed Jun 17 02:02:24 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/phpMyAdmin-4.2.1-english
[Wed Jun 17 02:02:24 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/sqlite
[Wed Jun 17 02:02:24 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/SQLite
[Wed Jun 17 02:02:24 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/SQLiteManager-1.2.4
[Wed Jun 17 02:02:24 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/sqlitemanager
[Wed Jun 17 02:02:24 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/SQlite
[Wed Jun 17 02:02:24 2015] [error] [client 62.210.203.175] File does not exist: /home/ovh/www/SQLiteManager
[Wed Jun 17 02:10:34 2015] [error] [client 31.31.77.166] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Wed Jun 17 03:29:48 2015] [error] [client 81.95.5.39] File does not exist: /home/ovh/www/manager
[Wed Jun 17 05:47:10 2015] [error] [client 186.103.141.42] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Wed Jun 17 09:54:39 2015] [error] [client 66.249.81.239] File does not exist: /home/ovh/www/~testceci
[Wed Jun 17 12:18:14 2015] [error] [client 192.95.18.5] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Wed Jun 17 12:21:28 2015] [error] [client 198.27.106.226] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Wed Jun 17 13:16:22 2015] [error] [client 94.102.53.195] File does not exist: /home/ovh/www/webindex

Sans parler des arttaques wOOtwOOt...

Comme ce sont certainement des robots qui testent cela, l'adresse ip de provenance change souvent.

par contre j'ai identifier les FAI qui hébergent ces adresses... D'ou ma question : existe-t-il un moyen d'interdire les adresses ip venant de telle ou telle FAI ?

Le nombre de tentatives par jour est hallucinant (voyez la date entre chaque tentative, ça ne s'arrête jamais).

Une solution possible ?