OVH Community, votre nouvel espace communautaire.

Suis-je victime d'une attaque ? Bruteforce enchainé d'une erreur MaxClients ?


kevin78
16/10/2015, 17h44
J'utilise Prestashop, qui est compatible avec PHP 5.2+
https://www.prestashop.com/fr/configuration-requise

Avec la version PHP 5.6, je vais essayer de faire des recherches.

captainadmin
16/10/2015, 17h14
Le debian 8 est en effet stable
Le passage sous nginx et php5-fpm est une très bonne idée, les ressources sont bien gérées et les performances au rendez-vous.

Attention cependant à ton code car le passage de php4 à php5.6 risque d'amener certains bugs à corriger en dev avant de déployer.

En tout cas oui, il faut te mettre à jour, et visiblement ya pas mal de taff devant toi

Bon courage
http://www.captainadmin.com

kevin78
16/10/2015, 15h55
Je comptais justement passer sur un nouveau serveur, et faire une toute nouvelle installation.
Le debian 8 est bien stable ?
En même temps, je voulais passer sur du NGinx - PHP-FPM
Qu'en pensez-vous ?

Vailwen
16/10/2015, 14h43
Citation Envoyé par bbr18
je dirais même plus, fresh install avec Debian 8
Je voulais dire debian 8, excuse moi. Les packages pour apache 2.4 sont uniquement dans jessie.

@++

lxwfr
16/10/2015, 14h03
upgrade peut-être vers 8

- - - Mise à jour - - -

upgrade peut-être vers 8 sinn regards souces list et modify ensuit pr etre a jour

bbr18
16/10/2015, 13h55
je dirais même plus, fresh install avec Debian 8

Vailwen
16/10/2015, 13h31
Salut,

Le mieux pour toi serait de faire une fresh install de debian 7. Tu auras ainsi la possibilité de bénéficier d'un php récent (5.6), d'apache 2.4 et de mariadb/mysql.
A savoir que php 4.4 est dépassé (n'est plus maintenu), de ce fait je ne serais pas étonné de voir des scripts de ton prestashop (php 5.2 min requis) dernière version tourner en boucle (et consommer du cpu).

@++

kevin78
16/10/2015, 12h49
Citation Envoyé par bbr18
loin, très loin d'être à jour tout ça !
pour le firewall c'est celui de ton serveur (iptables par exemple)
Tu conseillerais de passer sur debian 7 / apache 2.4 ?
Sur ma distrib, en tout cas, je ne trouve plus de mise à jour avec la commande apt update

bbr18
16/10/2015, 12h31
Pour les MAJ, je suis à jour.
Je suis sur un DEBIAN 6 / APACHE2.2 / PHP4.44
Avec la dernière version de Prestashop 1563.
loin, très loin d'être à jour tout ça !
pour le firewall c'est celui de ton serveur (iptables par exemple)

kevin78
16/10/2015, 12h23
Merci.
Le Fail2ban, je l'ai bien configuré, avec un ban de 30 jours sur 1 retry sur certains filtres.
Pour le firewall, je ne sais pas comment y accéder. Sur le manager OVH, lorsque je clique que l'onglet "firewall Cisco ASA", il me met que "Vous n'avez pas souscrit à l'option firewall Cisco ASA"

Pourtant, si je ne me trompe pas, dans l'option "utilisation professionnelle", le firewall est inclus non ?
J'ai ouvert un ticket mais j'attends toujours une réponse.

Pour les autres outils, c'est très utile, je vais checker tout çà.
rkhunter
portsentry
ossec-hids : ne fait-il pas la même chose que les deux précédents outils cités plus haut ?
Il m'a l'air d'être un super outil

Pour les MAJ, je suis à jour.
Je suis sur un DEBIAN 6 / APACHE2.2 / PHP4.44
Avec la dernière version de Prestashop 1563.

captainadmin
16/10/2015, 11h03
Hello,

Il semble clairement que tu manques de sécurités sur ton serveur.
Fail2ban c'est bien mais il faut le régler correctement, ban d'une semaine apres 3 retry, ajout des checks qui correspondent à tes logs etc ...
Il n'est pas le seul outil à mettre en place, tu peux voir du coté de rkhunter portsentry ossec-hids et surtout un bon firewall qui va bloquer les port qui ne doivent pas être ouvert.
Ca évite les scans intempestifs et autres problèmes polluants.
Ossec-hids est un des meilleurs outils, il va te permettre d'avoir une remonté de logs rapidement et des actions qui vont avec. Comme ca tu vois clairement ce que ton serveur subit.

L'autre point important c'est de tout avoir à jour sur ton équipement, c'est un peu la base mais il est bon de le rappeler.
J'ai pas tout lu donc je sais pas quel CMS tu utilises, mais par exemple avec WP, les failles sont nombreuses et les mises à jour indispensables.

Il ne faut rien négliger
Bon courage
http://www.captainadmin.com

kevin78
16/10/2015, 10h27
Salut et merci pour les réponses.

Pour IPTABLES : oui, son adresse IP est bien rajoutée. Je n'ai pas fais de reboot, mais je ne comprends toujours pas comment cette table a été vidée.
Pour les logs : j'ai checké les logs d'accès mais rien en particulier.

J'ai remarqué juste une chose importante.
Lorsque mon serveur est OK, avec au moins 40 utilisateurs en ligne :

- mon cpu ne dépasse rarement les 25% (avec la commande top)
- je n'ai que 2 à 5 tasks en running
- je n'ai que 2 à 4 users sql connectés
- le process mysqld ne consomme pas plus de 5% du cpu


Lorsque mon serveur est KO :

- mon CPU est à 90-100%
- le process mysqld consomme plus de 50-60% du cpu
- le nombre de "Tasks" est de plus 100 en mode running
- les utilisateurs SQL connectés sont plus de 140, la majorité en mode sleep (commande SQL show full processlist)
- je n'arrive quasiment plus à me connecter sur sql, sauf après plusieurs essaies
- les reboot sql ou apache2 ne changent rien à la situation


Dès que je vais bloquer et bannir de nouveau l'adresse IP de la personne, tout va redevenir normal
J'ai bien une protection anti injection SQL avec crawlprotect.
J'ai les fail2ban bien activés.
Sur le coup, je ne vois pas d'où cela provient.

Qu'en pensez-vous ?
Le bannir est une solution de dépannage, je dois cibler la faille.
Je compte peut être changer de serveur également mais les migrations des sites vont me demander pas mal de temps (le serveur date de 2012 déjà)

bbr18
15/10/2015, 09h40
Code:
/sbin/iptables -I INPUT  -s ip_a_bloquer -j DROP
et vérifie qu'elle est bien bloquée
Code:
iptables -L -n
mais les règles iptables ne sont pas permanentes, si tu rebootes ton serveur, elles disparaissent (sauf si tu as fait en sorte qu'elles soient sauvegardées et restaurées au reboot)

madri2
15/10/2015, 02h22
tout ce qui est woot woot ou 404 ne bouffe pas de ressources (ou presque)

as tu regardé les logs d'accès au lieu de juste les logs d'erreurs ?
car si le mec fait des requêtes sur ton site ça va bouffer des ressources là, et pas se voir dans les logs d'erreurs

kevin78
14/10/2015, 23h43
Je viens donner des nouvelles.
Je viens d'avoir une nouvelle "attaque".
C'est bon, c'est la quatrième, et à chaque fois, il y a l'adresse fixe d'une personne en région parisienne avant chaque attaque.
Et durant que mon server est HS, il est le seul à tenter des connexions.

Je l'avais pourtant bloquer avec IPTABLES mais combien de temps par défaut est il bloqué ?
La commande que je lance est

iptables -I INPUT -s SON-ADRESSE-IP -j DROP


Et aussi, comment puis je le retrouver et également déposer une plainte ?
J'ai remarqué aussi que le processus MYSQL est à bloc quand il se connecte... !

kevin78
09/10/2015, 11h22
ça recommence....
ça commence à me casser les c*****

à 10h51, j'ai eu de nouveau le problème de MaxClients, et serveur down. CPU à fond.
Il passe de 25% à 95-100%

[Fri Oct 09 10:51:59 2015] [error] server reached MaxClients setting, consider raising the MaxClients setting
En même temps, j'ai eu ensuite d'un coup plusieurs UNBAN d'un coup :

2015-10-09 10:52:29,818 fail2ban.actions: WARNING [apache-w00tw00t] Unban 45.63.5.114
2015-10-09 10:52:30,076 fail2ban.actions: WARNING [apache-w00tw00t] Unban 198.27.86.36
2015-10-09 10:52:30,240 fail2ban.actions: WARNING [apache-w00tw00t] Unban 95.213.177.124
2015-10-09 10:52:30,381 fail2ban.actions: WARNING [apache-w00tw00t] Unban 93.81.77.1
2015-10-09 10:52:30,526 fail2ban.actions: WARNING [apache-w00tw00t] Unban 95.213.177.123
2015-10-09 10:52:30,669 fail2ban.actions: WARNING [apache-w00tw00t] Unban 192.99.111.97
2015-10-09 10:52:30,817 fail2ban.actions: WARNING [apache-w00tw00t] Unban 95.213.177.122
2015-10-09 10:52:30,961 fail2ban.actions: WARNING [apache-w00tw00t] Unban 37.59.164.105
2015-10-09 10:52:31,094 fail2ban.actions: WARNING [apache-w00tw00t] Unban 141.212.122.112
2015-10-09 10:52:31,245 fail2ban.actions: WARNING [apache-w00tw00t] Unban 95.213.177.126
2015-10-09 10:52:31,492 fail2ban.actions: WARNING [apache-w00tw00t] Unban 95.213.177.125
2015-10-09 10:52:31,609 fail2ban.actions: WARNING [apache-w00tw00t] Unban 195.204.4.159
2015-10-09 10:52:31,757 fail2ban.actions: WARNING [apache-w00tw00t] Unban 92.222.220.41
2015-10-09 10:52:31,901 fail2ban.actions: WARNING [apache-w00tw00t] Unban 73.153.9.94
2015-10-09 10:52:32,050 fail2ban.actions: WARNING [apache-w00tw00t] Unban 69.122.112.31
2015-10-09 10:52:32,193 fail2ban.actions: WARNING [apache-w00tw00t] Unban 109.230.238.185
2015-10-09 10:52:32,715 fail2ban.jail : INFO Jail 'apache-w00tw00t' stopped
2015-10-09 10:52:33,361 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 60.29.221.174
2015-10-09 10:52:33,982 fail2ban.jail : INFO Jail 'dovecot-pop3imap' stopped
2015-10-09 10:52:34,203 fail2ban.actions: WARNING [apache-bruteforce] Unban 12.219.168.36
2015-10-09 10:52:34,358 fail2ban.actions: WARNING [apache-bruteforce] Unban 41.211.145.84
2015-10-09 10:52:34,552 fail2ban.actions: WARNING [apache-bruteforce] Unban 37.165.54.166
2015-10-09 10:52:34,744 fail2ban.actions: WARNING [apache-bruteforce] Unban 92.144.12.121
2015-10-09 10:52:34,865 fail2ban.actions: WARNING [apache-bruteforce] Unban 221.3.153.172
2015-10-09 10:52:35,021 fail2ban.actions: WARNING [apache-bruteforce] Unban 62.205.110.62
2015-10-09 10:52:35,169 fail2ban.actions: WARNING [apache-bruteforce] Unban 109.218.131.118
2015-10-09 10:52:35,337 fail2ban.actions: WARNING [apache-bruteforce] Unban 222.198.126.217
2015-10-09 10:52:35,490 fail2ban.actions: WARNING [apache-bruteforce] Unban 108.61.189.80
2015-10-09 10:52:35,692 fail2ban.actions: WARNING [apache-bruteforce] Unban 98.100.192.18
2015-10-09 10:52:35,846 fail2ban.actions: WARNING [apache-bruteforce] Unban 80.80.161.88
2015-10-09 10:52:36,033 fail2ban.actions: WARNING [apache-bruteforce] Unban 116.58.251.85
2015-10-09 10:52:36,216 fail2ban.actions: WARNING [apache-bruteforce] Unban 113.246.122.179
2015-10-09 10:52:37,116 fail2ban.jail : INFO Jail 'apache-bruteforce' stopped
2015-10-09 10:52:37,623 fail2ban.actions: WARNING [apache-noscript] Unban 104.210.15.134
2015-10-09 10:52:37,804 fail2ban.actions: WARNING [apache-noscript] Unban 185.49.14.190
2015-10-09 10:52:37,965 fail2ban.actions: WARNING [apache-noscript] Unban 208.74.78.69
2015-10-09 10:52:38,103 fail2ban.actions: WARNING [apache-noscript] Unban 185.25.151.159
Je vais remettre toutes ces adresses IP dans la liste des BAN.
J'ai redemarré apache et le serveur est reparti. Jusqu'à la prochaine attaque ?

kevin78
09/10/2015, 09h57
Je viens donner des news.
Ce matin, j'ai eu l'erreur suivante dans mes log apache :

[Fri Oct 09 07:12:41 2015] [error] [client 105.235.128.80] File does not exist: /var/www/components, referer: http://www.site-concurrent.fr/index....art&Itemid=235

Comme précisé dans mes précédents messages, je n'ai aucune arborescence du type /var/www/xxxxxx
Et cette erreur indique que la connexion provient d'un site internet d'un de mes concurrents...
Qu'en pensez-vous ? A force, on finit toujours par devenir parano, donc je préfère avoir l'avoir extérieur

kevin78
08/10/2015, 12h20
Yes j'ai bien mis mon adresse IP et j'ai bien relancé apache
Mais rien, erreur 404.

Amrac
07/10/2015, 17h22
Je suppose que tu as mis ton adresse IP à la place de MonAdresseIp.
As tu reload apache?

En théorie si c'est un soucis d'autorisation d'IP, il te dit Forbidden comme la: http://fourmizzz.fr/server-status

kevin78
07/10/2015, 16h01
Citation Envoyé par bbr18
15 jours = 1296000 secondes ^^
37.59.232.247 = ip de serveur ovh donc il n'a pas à rechercher les failles
c'est à toi de savoir ce qui est autorisé sur ton serveur, /var/www/plugins pourrait être légitime si tu as un site avec des plugins dans ce répertoire, auquel cas il se peut selon ta config qu'il soit normal qu'il y ait plusieurs appels à ce répertoire si une page de ton site y fait appel

Je n'ai justement aucun dossier /var/www/plugins ou aucun fichier sous /var/www/
J'ai plutôt :
/var/www/client1/web01
/var/www/client1/web02
/var/www/client1/web03
etc.

Pour cette raison, je me suis dis que les syntaxes répétitifs /var/www/plugins et /var/www/robots (etc.) n'ont rien à faire ici.

Pour le monitoring d'Apache, je ne connaissais pas server-status
Il faut rajouter dans httpd.conf ?
Le seul fichier httpd.conf que je connaisse se trouve sous /etc/apache2/
Et il est vide.
C'est bien celui ci ? (je n'ai pas de répertoire /etc/httpd/)

Code:

SetHandler server-status

Order Deny,Allow
Deny from all
Allow from .example.com

Edit :

j'ai trouvé ce fichier :

root@nsxxxxx:/etc/apache2/mods-enabled# more status.conf

#
# Allow server status reports generated by mod_status,
# with the URL of http://servername/server-status
# Uncomment and change the "192.0.2.0/24" to allow access from other hosts.
#

SetHandler server-status
Order deny,allow
Deny from all
Allow from MonAdresseIp 127.0.0.1 ::1
# Allow from 192.0.2.0/24


# Keep track of extended status information for each request
ExtendedStatus On

# Determine if mod_status displays the first 63 characters of a request or
# the last 63, assuming the request itself is greater than 63 chars.
# Default: Off
#SeeRequestTail On



# Show Proxy LoadBalancer status in mod_status
ProxyStatus On
J'ai redémarré apache2.
Mais lorsque je tape www.monsite.fr/server-status
cela me donne une page 404...

Amrac
07/10/2015, 15h42
Pour moi c'est possible.

En monitoring je te conseil le server-status d'apache, tu verras en direct si tu sature le MaxClients et avec quels requêtes.

Ensuite, et ça dépend de ton serveur, mais le réglage MaxClients par défaut d'apache est très bas. Donc si tu ne l'as jamais changé ça vaut le coup d'oeil.
Par exemple, il m'est déjà arrivé lors de la réinstallation d'un serveur d'oublier de le changer, et mon site meurt sous le traffic en deux minutes alors que le serveur s'ennuie littéralement (processeur à 0,1%).

http://httpd.apache.org/docs/2.0/mod...tml#maxclients
http://httpd.apache.org/docs/2.2/mod/mod_status.html

bbr18
07/10/2015, 15h39
15 jours = 1296000 secondes ^^
37.59.232.247 = ip de serveur ovh donc il n'a pas à rechercher les failles
c'est à toi de savoir ce qui est autorisé sur ton serveur, /var/www/plugins pourrait être légitime si tu as un site avec des plugins dans ce répertoire, auquel cas il se peut selon ta config qu'il soit normal qu'il y ait plusieurs appels à ce répertoire si une page de ton site y fait appel

kevin78
07/10/2015, 15h17
D'accord, merci beaucoup pour ces précisions.
Ce que je trouvais bizarre, c'est qu'ils essaient de se connecter à la volée.
Par exemple, 6 fois en même pas une seconde sur l'url /var/www/plugins

[client 37.59.232.247] File does not exist: /var/www/plugins

Vous ne le rajouteriez donc pas dans les règles de ban ?
Pour les w00tw00t et les tentatives sur phpmyadmin, je vais mettre 15 jours (648000 secondes).

Dans tous les cas, pensez-vous que le problème de MaxClients qui a mis KO mon serveur peut provenir de ces attaques enchainées ?

Amrac
07/10/2015, 15h07
Je suis pas sur que tu es bien compris une chose que t'as dit @Nowwhat.
Tu ne dois PAS bannir sur certain accès comme robots.txt, sitemap etc ...

C'est les moteurs de recherches qui tentent d’accéder à ces fichiers légitime et je doute que tu veille ban IP google & co.
De même, tu aura souvent les iphones qui vont demander apple-touch-icon-precomposed.png et de façon général des favicons et autres.

Attention à ne bannir QUE ce qui est illégitime. Hésite pas à nous demander si tu as un doute.

bbr18
07/10/2015, 14h40
c'est la vie "normale" d'un serveur tout ça, c'est de la nourriture pour fail2ban mais aussi pour abuse ovh pour cette ip par exemple 37.59.164.105
mets un bantime conséquent, perso pas de pitié pour les w00tw00t, les tentatives sur phpmyadmin et autres fichiers de conf, virés à la 1ere tentative pour au moins 15 jours, en général ils passent à un autre serveur

kevin78
07/10/2015, 14h27
Citation Envoyé par Nowwhat
Tu déconne ?

Le but est d'ajouter des lignes dans ton error-log qui arrivent très souvent ...
Donc exit w00t-w00t

Toutes les tests concernant phpmyadmin:

etc.

L'idée est de 'alimenter' ce genre de statistiques : http://www.test-domaine.fr/munin/pap.../fail2ban.html

N'ajoute JAMAIS un règle sans le tester.
Par exemple: je teste la validité de mon règle w00t-w00t:
fail2ban-regex /var/log/apache2/fichier-log-de-ton-serveur-web.log /etc/fail2ban/filter.d/apache-woot.conf
et observe le résultat.

Merci encore pour la réponse.
Oui justement, ces erreurs apparaissent souvent dans la log :

Code:
[Tue Oct 06 23:18:25 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:25 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:26 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:45:08 2015] [error] [client 158.49.113.143] File does not exist: /var/www/a2billing
[Wed Oct 07 00:33:29 2015] [error] [client 62.210.157.90] File does not exist: /var/www/hello
[Wed Oct 07 03:03:07 2015] [error] [client 85.25.103.50] File does not exist: /var/www/robots.txt
[Wed Oct 07 03:03:07 2015] [error] [client 85.25.103.50] File does not exist: /var/www/sitemap.xml
[Wed Oct 07 09:18:16 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
[Wed Oct 07 09:47:17 2015] [error] [client 66.249.64.176] File does not exist: /var/www/robots.txt
[Wed Oct 07 09:48:07 2015] [error] [client 66.249.64.222] File does not exist: /var/www/robots.txt
[Wed Oct 07 09:50:26 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
[Wed Oct 07 09:51:00 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
Et ce, très plusieurs fois par jour.
Par exemple :

Code:
fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/apache-w00tw00t.conf
donne 139 erreurs en 48h
rien que pour aujourd'hui :

Code:
    50.62.57.144 (Wed Oct 07 00:31:29 2015)
    50.62.57.144 (Wed Oct 07 00:31:34 2015)
    45.63.5.114 (Wed Oct 07 01:21:00 2015)
    45.63.5.114 (Wed Oct 07 01:21:00 2015)
    95.213.177.123 (Wed Oct 07 03:58:23 2015)
    95.213.177.124 (Wed Oct 07 04:00:40 2015)
    45.63.5.114 (Wed Oct 07 04:23:32 2015)
    45.63.5.114 (Wed Oct 07 04:32:32 2015)
    84.55.110.101 (Wed Oct 07 05:07:13 2015)
    84.55.110.101 (Wed Oct 07 05:07:13 2015)
    37.59.164.105 (Wed Oct 07 07:41:22 2015)
    37.59.164.105 (Wed Oct 07 07:41:22 2015)
    37.59.164.105 (Wed Oct 07 09:05:26 2015)
    37.59.164.105 (Wed Oct 07 09:05:26 2015)
    95.213.177.126 (Wed Oct 07 11:15:49 2015)
    95.213.177.125 (Wed Oct 07 11:17:52 2015)
    37.59.164.105 (Wed Oct 07 13:07:01 2015)
    37.59.164.105 (Wed Oct 07 13:07:01 2015)
    37.59.164.105 (Wed Oct 07 13:23:25 2015)

Pour apache-noscript.conf : 11 fois en 48h
Pour apache-bruteforce.conf : 1593 fois en 48h

Nowwhat
07/10/2015, 13h43
Citation Envoyé par kevin78
J....
Puis y rajouter des lignes en plus comme :
Code:
[[]client []] File does not exist: /var/www/config.*
[[]client []] File does not exist: /var/www/robots.*
Tu déconne ?

Le but est d'ajouter des lignes dans ton error-log qui arrivent très souvent ...
Donc exit w00t-w00t
....
[Definition]

failregex = ^%(__prefix_line)s.*\[client .*w00tw00t.*\s*$
.....
Toutes les tests concernant phpmyadmin:
.....
[Definition]
docroot = /var/www/.*
badadmin = xpxpmyadminx|phpMyAdmin|PMA|phpmyadmin|myadmin|mys ql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|m ydb|db|pmadb|phpmyadmin1|phpmyadmin2|phpinterface

failregex = [[]client []] File does not exist: %(docroot)s(?:%(badadmin)s)
.....
etc.

L'idée est de 'alimenter' ce genre de statistiques : http://www.test-domaine.fr/munin/pap.../fail2ban.html

N'ajoute JAMAIS un règle sans le tester.
Par exemple: je teste la validité de mon règle w00t-w00t:
fail2ban-regex /var/log/apache2/fichier-log-de-ton-serveur-web.log /etc/fail2ban/filter.d/apache-woot.conf
et observe le résultat.

kevin78
07/10/2015, 13h10
Je n'arrive pas à publier ma réponse, je dois attendre qu'un modérateur valide (??)...
Je pense que tu parles du filtre apache-bruteforce.conf ?
Code:
/etc/fail2ban/filter.d# more apache-bruteforce.conf
[Definition]
failregex = [[]client []] File does not exist: /var/www/admin.*
            [[]client []] File does not exist: /usr/share/.*
            [[]client []] request failed: error reading the headers
            [[]client []] File does not exist: /var/www/3rdparty.*
            [[]client []] File does not exist: /var/www/PHPMYADMIN.*
etc..

Puis y rajouter des lignes en plus comme :
Code:
[[]client []] File does not exist: /var/www/config.*
[[]client []] File does not exist: /var/www/robots.*
- - - Updated - - -

Citation Envoyé par Nowwhat
3600 secondes ???? (une heure)

Normalement, on y met perpète, quit a que la liste des ip's bloqués dans ton 'iptables' sera énorme.
Oui je faisais déjà un premier test pour être sûr.
à la base, c'est seulement 600 secondes par défaut.

kevin78
07/10/2015, 13h06
Je vais effectivement augmenter à 15 jours.
Je voulais laisser tourner, voir si mes filtres sont bien corrects et ne bloquent pas des réels visiteurs.
Merci pour cette information en tout cas.

Puis-je rajouter des termes dans le fitre apache-bruteforce ?
Par exemple, j'ai les erreurs suivantes :

Code:
[Tue Oct 06 23:18:25 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:25 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:26 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:45:08 2015] [error] [client 158.49.113.143] File does not exist: /var/www/a2billing
[Wed Oct 07 00:33:29 2015] [error] [client 62.210.157.90] File does not exist: /var/www/hello
[Wed Oct 07 03:03:07 2015] [error] [client 85.25.103.50] File does not exist: /var/www/robots.txt
[Wed Oct 07 03:03:07 2015] [error] [client 85.25.103.50] File does not exist: /var/www/sitemap.xml
[Wed Oct 07 09:18:16 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
[Wed Oct 07 09:47:17 2015] [error] [client 66.249.64.176] File does not exist: /var/www/robots.txt
[Wed Oct 07 09:48:07 2015] [error] [client 66.249.64.222] File does not exist: /var/www/robots.txt
[Wed Oct 07 09:50:26 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
[Wed Oct 07 09:51:00 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
Puis je les rajouter dans le fichier .conf ?
Comme ci-dessous :
Je rajouterai la ligne

[[]client []] File does not exist: /var/www/config.*
[[]client []] File does not exist: /var/www/robots.*
et ainsi de suite, autant que je trouverai des tentatives de ce type.


Code:
/etc/fail2ban/filter.d# more apache-bruteforce.conf
[Definition]
failregex = [[]client []] File does not exist: /var/www/admin.*
            [[]client []] File does not exist: /usr/share/.*
            [[]client []] request failed: error reading the headers
            [[]client []] File does not exist: /var/www/3rdparty.*
            [[]client []] File does not exist: /var/www/PHPMYADMIN.*
            [[]client []] File does not exist: /var/www/PMA.*
            [[]client []] File does not exist: /var/www/phpMyAdmin.*
            [[]client []] File does not exist: /var/www/round.*
            [[]client []] File does not exist: /var/www/rc.*
            [[]client []] File does not exist: /var/www/mss2.*
            [[]client []] File does not exist: /var/www/mail.*
            [[]client []] File does not exist: /var/www/rms.*
            [[]client []] File does not exist: /var/www/web.*
            [[]client []] File does not exist: /var/www/wm.*
            [[]client []] File does not exist: /var/www/bin.*
            [[]client []] File does not exist: /var/www/cube.*
            [[]client []] File does not exist: /var/www/proxy.*
            [[]client []] File does not exist: /var/www/ip.*
            [[]client []] File does not exist: /var/www/mysql.*
            [[]client []] File does not exist: /var/www/myadmin.*
            [[]client []] File does not exist: /var/www/bbs.*
            [[]client []] File does not exist: /var/www/cpadmin.*
            [[]client []] File does not exist: /var/www/blog.*
            [[]client []] File does not exist: /var/www/forum.*
            [[]client []] File does not exist: /var/www/e107.*
            [[]client []] File does not exist: /var/www/www.*
            [[]client []] File does not exist: /var/www/SSLMySQLAdmin.*
            [[]client []] File does not exist: /var/www/SQL.*
            [[]client []] File does not exist: /var/www/~.*
            [[]client []] File does not exist: /var/www/db.*
            [[]client []] File does not exist: /var/www/sql.*
            [[]client []] File does not exist: /var/www/Myadmin.*
            [[]client []] File does not exist: /var/www/php.*
            [[]client []] File does not exist: /var/www/2phpmyadmin.*
            [[]client []] File does not exist: /var/www/tool.*
            [[]client []] File does not exist: /var/www/path.*
            [[]client []] File does not exist: /var/www/data.*
            [[]client []] File does not exist: /var/www/doesnotexist.*

ignoreregex =



Autre indice, ces dernières semaines, j'ai eu pas mal de visite en provenance de best-seo-software.xyz
Avec google analytics, je vois 134 sessions sur le mois, 100% taux de rebond, avec une durée de 00:00:00 sur le site.

Je vais le bloquer via le .htaccess file.

Code:
## SITE REFERRER BANNING
RewriteCond %{HTTP_REFERER} best-seo-software.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} best-seo-software.xyz
RewriteRule .* - [F]
Il est apparemment connu dans les black-list
https://referrerspamblocker.com/blacklist

kevin78
07/10/2015, 12h47
Je vais effectivement augmenter à 15 jours.
Je voulais laisser tourner, voir si mes filtres sont bien corrects et ne bloquent pas des réels visiteurs.
Merci pour cette information en tout cas.

Puis-je rajouter des termes dans le fitre apache-bruteforce ?
Par exemple, j'ai les erreurs suivantes :

Code:
[Tue Oct 06 23:18:25 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:25 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:26 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:18:27 2015] [error] [client 37.59.232.247] File does not exist: /var/www/plugins
[Tue Oct 06 23:45:08 2015] [error] [client 158.49.113.143] File does not exist: /var/www/a2billing
[Wed Oct 07 00:33:29 2015] [error] [client 62.210.157.90] File does not exist: /var/www/hello
[Wed Oct 07 03:03:07 2015] [error] [client 85.25.103.50] File does not exist: /var/www/robots.txt
[Wed Oct 07 03:03:07 2015] [error] [client 85.25.103.50] File does not exist: /var/www/sitemap.xml
[Wed Oct 07 09:18:16 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
[Wed Oct 07 09:47:17 2015] [error] [client 66.249.64.176] File does not exist: /var/www/robots.txt
[Wed Oct 07 09:48:07 2015] [error] [client 66.249.64.222] File does not exist: /var/www/robots.txt
[Wed Oct 07 09:50:26 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
[Wed Oct 07 09:51:00 2015] [error] [client 84.51.79.188] File does not exist: /var/www/config
Puis je les rajouter dans le fichier .conf ?
Comme ci-dessous :
Je rajouterai la ligne

[[]client []] File does not exist: /var/www/config.*
[[]client []] File does not exist: /var/www/robots.*
et ainsi de suite, autant que je trouverai des tentatives de ce type.


Code:
/etc/fail2ban/filter.d# more apache-bruteforce.conf
[Definition]
failregex = [[]client []] File does not exist: /var/www/admin.*
            [[]client []] File does not exist: /usr/share/.*
            [[]client []] request failed: error reading the headers
            [[]client []] File does not exist: /var/www/3rdparty.*
            [[]client []] File does not exist: /var/www/PHPMYADMIN.*
            [[]client []] File does not exist: /var/www/PMA.*
            [[]client []] File does not exist: /var/www/phpMyAdmin.*
            [[]client []] File does not exist: /var/www/round.*
            [[]client []] File does not exist: /var/www/rc.*
            [[]client []] File does not exist: /var/www/mss2.*
            [[]client []] File does not exist: /var/www/mail.*
            [[]client []] File does not exist: /var/www/rms.*
            [[]client []] File does not exist: /var/www/web.*
            [[]client []] File does not exist: /var/www/wm.*
            [[]client []] File does not exist: /var/www/bin.*
            [[]client []] File does not exist: /var/www/cube.*
            [[]client []] File does not exist: /var/www/proxy.*
            [[]client []] File does not exist: /var/www/ip.*
            [[]client []] File does not exist: /var/www/mysql.*
            [[]client []] File does not exist: /var/www/myadmin.*
            [[]client []] File does not exist: /var/www/bbs.*
            [[]client []] File does not exist: /var/www/cpadmin.*
            [[]client []] File does not exist: /var/www/blog.*
            [[]client []] File does not exist: /var/www/forum.*
            [[]client []] File does not exist: /var/www/e107.*
            [[]client []] File does not exist: /var/www/www.*
            [[]client []] File does not exist: /var/www/SSLMySQLAdmin.*
            [[]client []] File does not exist: /var/www/SQL.*
            [[]client []] File does not exist: /var/www/~.*
            [[]client []] File does not exist: /var/www/db.*
            [[]client []] File does not exist: /var/www/sql.*
            [[]client []] File does not exist: /var/www/Myadmin.*
            [[]client []] File does not exist: /var/www/php.*
            [[]client []] File does not exist: /var/www/2phpmyadmin.*
            [[]client []] File does not exist: /var/www/tool.*
            [[]client []] File does not exist: /var/www/path.*
            [[]client []] File does not exist: /var/www/data.*
            [[]client []] File does not exist: /var/www/doesnotexist.*

ignoreregex =



Autre indice, ces dernières semaines, j'ai eu pas mal de visite en provenance de best-seo-software.xyz
Avec google analytics, je vois 134 sessions sur le mois, 100% taux de rebond, avec une durée de 00:00:00 sur le site.

Je vais le bloquer via le .htaccess file.

Code:
## SITE REFERRER BANNING
RewriteCond %{HTTP_REFERER} best-seo-software.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} best-seo-software.xyz
RewriteRule .* - [F]
Il est apparemment connu dans les black-list
https://referrerspamblocker.com/blacklist

Amrac
07/10/2015, 12h12
Je vois dans ton log qu'il test des pages particulières que tes utilisateurs normaux n'utilisent pas comme SQlite, hudson, mySqlDumper etc ...

Si il a tendance à revenir et à refaire des demandes sur ces pages, à ta place je ferais un filtre fail2ban qui se déclenche lorsqu'une de ces pages est demandé.
Je te donnerais bien le filtre exact, mais je suis pas sur d'avoir bon du premier coup. Tu peut cependant trouver quelques infos sur ce sujet: https://forum.ovh.com/showthread.php...back-wordpress

Nowwhat
07/10/2015, 11h54
3600 secondes ???? (une heure)

Normalement, on y met perpète, quit a que la liste des ip's bloqués dans ton 'iptables' sera énorme.

kevin78
07/10/2015, 11h42
Merci pour la réponse.
Oui il s'agit d'une IP fixe se trouvant en région parisienne... Peut être une personne que je connais mais impossible d'en être sûr.
J'ai mis le bantime à 3600 pour le moment.

Mais si j'ai la même chose à partir d'une autre adresse IP, comment m'en protéger ?
Les tentatives de type apache-bruteforce ou apache-w00tw00t sont bien actives et bannissent les IP concernées.

Mais concernant l'adresse IP Free plus haut, il ne fait aucune action de ce type. Je n'arrive pas à savoir ce qu'il fait exactement, mais les deux fois où j'ai eu le problème de "can't apply process slot for", il était comme par hasard présent à la second près.

Il accède à la volée à 2-3 mêmes pages de mon site internet (ce n'est qu'un site marchand).
Il fait cela pendant un moins d'une heure.

bbr18
07/10/2015, 10h21
cette ip correspond à free, envoie leur tes logs, ça pourrait calmer l'utilisateur en question ^^
si ton fail2ban est bien configuré cela ne devrait pas impacter ton serveur, tu as mis une durée de bannissement à combien ? par défaut c'est 5 mn, tu as mis 1h, ce n'est pas assez, je le mets à 15 jours :
Code:
bantime  = 1296000
et puis pour avoir la paix avec cette ip :
Code:
/sbin/iptables -I INPUT 1 -s 82.233.227.136 -j DROP

kevin78
07/10/2015, 09h50
Salut tout le monde,

Je pense que je suis actuellement attaqué depuis plusieurs jours par plusieurs tentatives à la volée, qui met du coup, mon serveur en KO avec l'erreur [error] server reached MaxClients setting, consider raising the MaxClients setting et qui par conséquent, bloque l'accès à mon site, avec l'erreur mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer:

J'ai mis les logs ci-dessous, désolé si c'est long

Exemple :
Extrait du /var/log/apache2/error.log :

Code:
[Mon Oct 05 23:41:41 2015] [error] [client 198.27.86.36] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.Win32:)
[Mon Oct 05 23:41:41 2015] [error] [client 198.27.86.36] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.Win32:)
[Tue Oct 06 00:28:26 2015] [error] [client 91.121.166.9] File does not exist: /var/www/script
[Tue Oct 06 00:28:26 2015] [error] [client 91.121.166.9] File does not exist: /var/www/jenkins
[Tue Oct 06 00:28:26 2015] [error] [client 91.121.166.9] File does not exist: /var/www/hudson
[Tue Oct 06 00:28:26 2015] [error] [client 91.121.166.9] File does not exist: /var/www/login
[Tue Oct 06 00:28:26 2015] [error] [client 91.121.166.9] File does not exist: /var/www/jenkins
[Tue Oct 06 00:28:26 2015] [error] [client 91.121.166.9] File does not exist: /var/www/hudson
[Tue Oct 06 00:28:27 2015] [error] [client 91.121.166.9] File does not exist: /var/www/jmx-console
[Tue Oct 06 00:28:27 2015] [error] [client 91.121.166.9] File does not exist: /var/www/manager
[Tue Oct 06 00:28:27 2015] [error] [client 91.121.166.9] File does not exist: /var/www/msd
[Tue Oct 06 00:28:27 2015] [error] [client 91.121.166.9] File does not exist: /var/www/mySqlDumper
[Tue Oct 06 00:28:27 2015] [error] [client 91.121.166.9] File does not exist: /var/www/msd1.24stable
[Tue Oct 06 00:28:27 2015] [error] [client 91.121.166.9] File does not exist: /var/www/msd1.24.4
ça continue

Code:
[Tue Oct 06 03:28:31 2015] [error] [client 185.25.151.159] script '/var/www/testproxy.php' not found or unable to stat
[Tue Oct 06 03:47:48 2015] [error] [client 58.213.123.107] File does not exist: /var/www/apps/manager
[Tue Oct 06 04:11:56 2015] [error] [client 88.198.41.83] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Oct 06 04:11:56 2015] [error] [client 88.198.41.83] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Oct 06 04:46:19 2015] [error] [client 88.198.41.83] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Oct 06 04:46:19 2015] [error] [client 88.198.41.83] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Oct 06 04:49:32 2015] [error] [client 88.198.41.83] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Oct 06 04:49:32 2015] [error] [client 88.198.41.83] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
PHP Warning:  Module 'apc' already loaded in Unknown on line 0
[Tue Oct 06 06:04:03 2015] [error] [client 192.99.111.97] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.Win32:)
[Tue Oct 06 06:04:03 2015] [error] [client 192.99.111.97] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.Win32:)
[Tue Oct 06 06:12:51 2015] [error] [client 95.213.177.124] script '/var/www/azenv.php' not found or unable to stat, referer: https://proxyradar.com/
[Tue Oct 06 06:14:53 2015] [error] [client 95.213.177.122] script '/var/www/azenv.php' not found or unable to stat, referer: https://proxyradar.com/
[Tue Oct 06 07:13:39 2015] [error] [client 115.239.248.30] File does not exist: /var/www/manager
PHP Warning:  Module 'apc' already loaded in Unknown on line 0
[Tue Oct 06 08:25:36 2015] [error] [client 91.121.166.9] File does not exist: /var/www/script
[Tue Oct 06 08:25:36 2015] [error] [client 91.121.166.9] File does not exist: /var/www/jenkins
[Tue Oct 06 08:25:37 2015] [error] [client 91.121.166.9] File does not exist: /var/www/hudson
[Tue Oct 06 08:25:37 2015] [error] [client 91.121.166.9] File does not exist: /var/www/login
[Tue Oct 06 08:25:37 2015] [error] [client 91.121.166.9] File does not exist: /var/www/jenkins
[Tue Oct 06 08:25:37 2015] [error] [client 91.121.166.9] File does not exist: /var/www/hudson
[Tue Oct 06 08:25:37 2015] [error] [client 91.121.166.9] File does not exist: /var/www/jmx-console
[Tue Oct 06 08:25:37 2015] [error] [client 91.121.166.9] File does not exist: /var/www/manager
[Tue Oct 06 08:25:37 2015] [error] [client 91.121.166.9] File does not exist: /var/www/msd
etc...


jusqu'à

Code:
[Tue Oct 06 09:59:07 2015] [error] [client 91.121.166.9] File does not exist: /var/www/phpMyAdmin-4.2.1-all-languages
[Tue Oct 06 09:59:07 2015] [error] [client 91.121.166.9] File does not exist: /var/www/phpMyAdmin-4.2.1-english
[Tue Oct 06 09:59:07 2015] [error] [client 91.121.166.9] File does not exist: /var/www/sqlite
[Tue Oct 06 09:59:07 2015] [error] [client 91.121.166.9] File does not exist: /var/www/SQLite
[Tue Oct 06 09:59:07 2015] [error] [client 91.121.166.9] File does not exist: /var/www/SQLiteManager-1.2.4
[Tue Oct 06 09:59:07 2015] [error] [client 91.121.166.9] File does not exist: /var/www/sqlitemanager
[Tue Oct 06 09:59:07 2015] [error] [client 91.121.166.9] File does not exist: /var/www/SQlite
[Tue Oct 06 09:59:07 2015] [error] [client 91.121.166.9] File does not exist: /var/www/SQLiteManager
[Tue Oct 06 10:40:14 2015] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Tue Oct 06 10:43:01 2015] [error] [client 91.121.166.9] File does not exist: /var/www/script
[Tue Oct 06 10:43:20 2015] [error] [client 91.121.166.9] File does not exist: /var/www/msd
[Tue Oct 06 10:43:20 2015] [error] [client 91.121.166.9] File does not exist: /var/www/phpmyadmin
[Tue Oct 06 10:43:41 2015] [error] [client 91.121.166.9] File does not exist: /var/www/sqlite
[Tue Oct 06 10:43:53 2015] [error] [client 91.121.166.9] File does not exist: /var/www/SQLite
Par conséquent, dans la log de mon site internet, sous /var/www/monsite.fr/log, j'ai les erreurs suivantes, tout de suite après l'erreur "MaxClients"

Code:
[Tue Oct 06 10:40:22 2015] [warn] [client 82.233.227.136] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/page-produit.html
[Tue Oct 06 10:40:22 2015] [warn] [client 82.233.227.136] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/page-produit.html
[Tue Oct 06 10:40:23 2015] [warn] [client 213.44.254.36] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/une-page.html
[Tue Oct 06 10:40:24 2015] [warn] [client 82.233.227.136] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/page-produit.html
[Tue Oct 06 10:40:25 2015] [warn] [client 82.233.227.136] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/page-produit.html
[Tue Oct 06 10:40:25 2015] [warn] [client 82.233.227.136] mod_fcgid: can't apply process slot for /var/ww
L'erreur [error] server reached MaxClients setting, consider raising the MaxClients setting
Est-ce une coïncidence selon vous ?

J'essaie de redémarrer apache2, mais le serveur reste ensuite toujours inaccessible aux visiteurs :

Code:
[Tue Oct 06 10:46:31 2015] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Oct 06 10:46:31 2015] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Oct 06 10:46:31 2015] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Tue Oct 06 10:46:31 2015] [notice] Digest: generating secret for digest authentication ...
[Tue Oct 06 10:46:31 2015] [notice] Digest: done
[Tue Oct 06 10:46:31 2015] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Oct 06 10:46:31 2015] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Oct 06 10:46:31 2015] [notice] Apache/2.2.16 (Debian) DAV/2 mod_fcgid/2.3.6 PHP/5.3.3-7+squeeze19 with Suhosin-Patch mod_ruby/1.2.6 Ruby/1.8.7(2010-08-16) mod_ssl/2.2.16 Open
SSL/0.9.8o configured -- resuming normal operations
[Tue Oct 06 10:47:20 2015] [error] server reached MaxClients setting, consider raising the MaxClients setting
PHP Warning:  Module 'apc' already loaded in Unknown on line 0
PHP Warning:  Module 'apc' already loaded in Unknown on line 0
PHP Warning:  Module 'apc' already loaded in Unknown on line 0
[Tue Oct 06 10:51:05 2015] [error] [client 200.55.187.54] File does not exist: /var/www/phpMyAdmin
[Tue Oct 06 10:51:11 2015] [error] [client 200.55.187.54] File does not exist: /var/www/pma
[Tue Oct 06 10:51:29 2015] [error] [client 200.55.187.54] File does not exist: /var/www/myadmin
[Tue Oct 06 10:53:24 2015] [notice] caught SIGTERM, shutting down
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7871 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7891 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7938 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7941 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7944 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7959 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7960 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7962 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7965 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7968 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7970 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7975 still did not exit, terminating forcefully
[Tue Oct 06 10:53:33 2015] [error] FastCGI process 7977 still did not exit, terminating forcefully


Par conséquent, j'ai effectué les actions suivantes :
- j'ai activé le CrawlProtect (qui a été désactivé suite à une mise à jour)
- j'ai activé le Fail2Ban avec les actions "classiques" avec par exemple apache-bruteforce.conf qui contient :

Code:
 more apache-bruteforce.conf
[Definition]
failregex = [[]client []] File does not exist: /var/www/admin.*
            [[]client []] File does not exist: /usr/share/.*
            [[]client []] request failed: error reading the headers
            [[]client []] File does not exist: /var/www/3rdparty.*
            [[]client []] File does not exist: /var/www/PHPMYADMIN.*
            [[]client []] File does not exist: /var/www/PMA.*
            [[]client []] File does not exist: /var/www/phpMyAdmin.*
            [[]client []] File does not exist: /var/www/round.*
            [[]client []] File does not exist: /var/www/rc.*
            [[]client []] File does not exist: /var/www/mss2.*
            [[]client []] File does not exist: /var/www/mail.*
            [[]client []] File does not exist: /var/www/rms.*
            [[]client []] File does not exist: /var/www/web.*
            [[]client []] File does not exist: /var/www/wm.*
            [[]client []] File does not exist: /var/www/bin.*
            [[]client []] File does not exist: /var/www/cube.*
            [[]client []] File does not exist: /var/www/proxy.*
            [[]client []] File does not exist: /var/www/ip.*
            [[]client []] File does not exist: /var/www/mysql.*
            [[]client []] File does not exist: /var/www/myadmin.*
            [[]client []] File does not exist: /var/www/bbs.*
            [[]client []] File does not exist: /var/www/cpadmin.*
            [[]client []] File does not exist: /var/www/blog.*
            [[]client []] File does not exist: /var/www/forum.*
            [[]client []] File does not exist: /var/www/e107.*
            [[]client []] File does not exist: /var/www/www.*
            [[]client []] File does not exist: /var/www/SSLMySQLAdmin.*
            [[]client []] File does not exist: /var/www/SQL.*
            [[]client []] File does not exist: /var/www/~.*
            [[]client []] File does not exist: /var/www/db.*
            [[]client []] File does not exist: /var/www/sql.*
            [[]client []] File does not exist: /var/www/Myadmin.*
            [[]client []] File does not exist: /var/www/php.*
            [[]client []] File does not exist: /var/www/2phpmyadmin.*
            [[]client []] File does not exist: /var/www/tool.*
            [[]client []] File does not exist: /var/www/path.*
            [[]client []] File does not exist: /var/www/data.*
            [[]client []] File does not exist: /var/www/doesnotexist.*

ignoreregex =
En lançant la commande suite,
Code:
root@xxxxxx:/etc/fail2ban/filter.d# fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/apache-bruteforce.conf
Sur deux jours, j'obtiens 1591 lignes correspondantes à ce filtre !


Dans le fichier /etc/fail2ban/jail.local, j'ai rajouté hier soir :

Code:
[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
action = iptables[name=Apache-w00tw00t,port=80,protocol=tcp]
#mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
sendmail-whois[name=Apache-w00tw00t, dest=monadressemail@hotmail.com, sender=fail2ban@mail.com]
#action = %(action_mwl)s
logpath = /var/log/apache2/*.log
maxretry = 1
bantime = 3600

[apache-flood]
enabled = true
filter = apache-flood
action = iptables[name=Apache-flood,port=80,protocol=tcp]
mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
logpath = /var/log/apache2/access*.log
maxretry = 3
bantime = 3600

[apache-ddos]
enabled = true
filter = apache-ddos
action = iptables[name=Apache-ddos,port=80,protocol=tcp]
mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
logpath = /var/log/apache2/error*.log
maxretry = 3
bantime = 3600

[apache-bruteforce]
enabled = true
filter = apache-bruteforce
action = iptables[name=Apache-bruteforce,port=80,protocol=tcp]
sendmail-whois[name=HTTP, dest=monadressemail@hotmail.com, sender=fail2ban@mail.com]
logpath = /var/log/apache2/error*.log
maxretry = 6
bantime = 3600

Cette nuit, rebelote, je vois encore dans mes logs de mon site internet,

Code:
Tue Oct 06 23:16:55 2015] [warn] [client 87.65.172.66] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/moto-teleguide.html
[Tue Oct 06 23:16:59 2015] [warn] [client 82.233.227.136] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/une-page.html
[Tue Oct 06 23:16:59 2015] [warn] [client 82.233.227.136] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/une-page.html
[Tue Oct 06 23:17:02 2015] [warn] [client 66.249.67.44] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter
[Tue Oct 06 23:17:04 2015] [warn] [client 82.233.227.136] mod_fcgid: can't apply process slot for /var/www/php-fcgi-scripts/web2/.php-fcgi-starter, referer: http://www.monsite.fr/une-page.html
et ce, entre 23h16 et 23h51, mais cela, sans causer cette fois-ci d'erreur MaxClients, et mon site restait donc accessible aux autres visiteurs.
Pour info, il s'agit de la même adresse IP que lors de la première fois (hier matin), où le serveur a été mis KO.
J'ai ainsi l'impression que l'adresse IP 82.233.227.136 provoque (volontairement ? j'en presque sûr...) des actions provoquant le bordel sur mon site.
Aussi, je n'ai pas eu plus de visites que les jours précédents. J'ai le même nombre de visiteurs depuis 5 ans sans problème...
Du coup, ce matin, j'ai mis une règle encore plus stricte sur le Apache-bruteforce avec maxretry=1
Qu'en pensez-vous ?
Dois-je bannir l'adresse IP repérée ? Si oui, comment éviter que cela se reproduise de nouveau, avec une autre adresse IP ?

Désolé encore, c'était long, mais je voulais avoir vos précieux avis