Ah ! En flagrant délit de scan des répertoires web : comment l'empêcher ?

WRInaute passionné
Hello

Je viens de voir dans mes logs les lignes suivantes.
Existe-t-il des outils basés sur des règles de gestion ou heuristiques pour bannir les IP qui manifestement ne sont pas là pour naviguer sur mes sites internet ?

Je pourrais rajouter une règle en me basant sur ces lignes mais je ne suis pas sûr d'être exhaustif.
Je pensais à la règle suivante :
- bannir une IP au bout de X erreurs 404 ...

merci d'avance
loran

sansrefv.jpg
 
WRInaute passionné
Fail2ban le fait (faut activer le jail) par contre il faut que les sites sur ton serveur soient bien codé: des images manquantes sur un forum pourrait conduire à "trop" de 404 de la part d'un membre.

A une époque j'avais mis en place une page "feinte" qui "si elle était tappée" écrivait dans un log. Fail2ban faisait le reste.

Après ce genre de scans sont très fréquents et si ton phpmyadmin est un minimum sécurisé (rajout d'un .htaccess par exemple) ces scans sont inutiles (sauf pour la charge serveur).
 
WRInaute passionné
loran750 a dit:
bizarre Julia41, j'ai pourtant Fail2Ban... Et il a pas réagit. Je dois voir ses paramètres alors.
Oui, par défaut ce module n'est pas activé car sur des sites codés à l'arrache (avec 200 404 sur la page d'accueil) ça bannirait tout le monde ;)

Le jail à activer est le :
apache-noscript.conf
 
WRInaute accro
pourquoi ne pas bannir si l'url n'existe pas sur ton site : par exemple, si tu n'as pas de /mysql/index, tu peux bannir ce user
 
WRInaute passionné
très bonne idée.
Je vais recenser un certains nombre de répertoires appelés et faire une règle (une règle fail2ban je présume)
 
WRInaute passionné
loran750 a dit:
très bonne idée.
Je vais recenser un certains nombre de répertoires appelés et faire une règle (une règle fail2ban je présume)

Moi perso sous lighttpd j'ai créé justement des "scan trap" à l'aide d'un petit rewrite.
si :
/phpmyadmin-... (mon /phpmyadmin/ existant donc si c'est plus long, on arrête)
alors ça affiche un php qui me log dans un fichier séparé (error_log) surveillé par fail2ban.
J'ai mis le truc à une vingtaine d'erreur car des fois j'ai des scripts un peu mal fait qui vont tapper partout :p
 
Discussions similaires
Haut