Attaques quotidiennes sur mes serveurs

WRInaute passionné
Bonjour,

je traque les attaques quotidiennes qui sont faites sur mes serveurs et j'ai maintenant une liste d'IP / d'organisations relativement signifiante de tout cela. Existe-t-il des organisations d'état ou quelque chose où l'on puisse transmettre tout ça pour traquer les origines de ces attaques ?

Merci de vos conseils,

RB
 
WRInaute passionné
nan mais en fait j'ai déjà essayé, et pas eu de réponse. puis j'ai téléphoné, et on m'a dit d'envoyer un mail.. tu connais un autre moyen de les contacter ?
 
WRInaute accro
Pourquoi s'embeter a faire la chasse aux IP alors qu'il y a d'autres solutions plus radicales (firewall, iptables...) pour dégager de son serveur les excités du DOS et autres variantes ? (si c'est bien ce qu'entend l'auteur par attaques sur son serveur)
 
WRInaute occasionnel
RomsIW a dit:
Bonjour,
Existe-t-il des organisations d'état ou quelque chose où l'on puisse transmettre tout ça pour traquer les origines de ces attaques ?
Merci de vos conseils,
RB

Oui :

Recherche whois de l'ip, il y a souvent une adresse abuse ( activities like spam, portscan and other, etc...) :

http://www.frameip.com/whois/

Multiplié par des milliers d'ip, ça va être long, mais c'est possible. Puis quand ce sera terminé, il y en aura un millier d'autres ^^

Ou adopter des solutions de contre-mesure (fail2ban/iptables/Apache, mod-evasive/etc)

Ou contacter OVH par mail oles@ovh.net
 
WRInaute accro
MirageDemonAsh a dit:
Multiplié par des milliers d'ip, ça va être long, mais c'est possible. Puis quand ce sera terminé, il y en aura un millier d'autres ^^
oui c'est exactement ça : le problème c'est que dans le cas d'attaques DDOS par exemple, ce sont des milliers (millions ?) d'ordinateurs "innocents" qui contribuent malgré eux (zombies) à l'attaque. J'ai eu le cas de tous les PC d'une "organisation" koweitienne qui étaient infectés et ils étaient même pas au courant :)

:arrow: c'est vraiment au niveau du firewall qu'il faut les bloquer car une fois qu'ils auront passé la barrière, les processus apache se lanceront quand meme en cas de requete ! Vite tués avec les différents mods (.htaccess, dos_evasive, etc.) mais ils se déclencheront quand meme !
 
WRInaute passionné
Fail2ban, règles IPTables, changement de port...
Par exemple, accès SSH, tu passes par le port 23, tu élimines un paqué d'attaque...
Apache, Tu as des mods comme le dit mahefarivony...

En tout cas, j'ignore de quels types d'attaque tu parles, mais tu as pleins de solutions pour te prémunir des attaques... Un peu plus de détails et nous pourrions peut-être plus t'orienter...
 
WRInaute passionné
ce que j'appelle des attaques sont principalement des gens qui testent des trucs genre /phpMyAdmin/main.php et compagnie.. et qui doivent parfois réussir sur d'autres serveurs ?
 
WRInaute passionné
RomsIW a dit:
ce que j'appelle des attaques sont principalement des gens qui testent des trucs genre /phpMyAdmin/main.php et compagnie.. et qui doivent parfois réussir sur d'autres serveurs ?

Ca c'est le filtre apache-no-scripts dans fail2ban, ça marche très bien mais à configurer avec prudence...
Le principe de ce jail, dès qu'il trouve x erreurs 404 fait par un user, cet user est ban pendant x secondes...
 
WRInaute passionné
Julia41 a dit:
RomsIW a dit:
ce que j'appelle des attaques sont principalement des gens qui testent des trucs genre /phpMyAdmin/main.php et compagnie.. et qui doivent parfois réussir sur d'autres serveurs ?

Ca c'est le filtre apache-no-scripts dans fail2ban, ça marche très bien mais à configurer avec prudence...
Le principe de ce jail, dès qu'il trouve x erreurs 404 fait par un user, cet user est ban pendant x secondes...
ça a l'air pas mal ça..
 
WRInaute passionné
RomsIW a dit:
ça a l'air pas mal ça..

Bah ça marche très très bien si ton site est bien codé... Ca m'ait déjà arrivé de me faire ban de mon propre serv (port 80 heuresement) en ayant déplacé un -http://site.com/prout/ en -http://prout.site.com :p
Mais pour ton SQL, tout le monde à accès à sql.free.fr, juste le pass et les chmods qui font la sécurité...
 
WRInaute accro
Pareil pour moi c'est au final belle page blanche. Radical
Du genre "Directory Traversal '../../../../../../../../etc/passwd' found. "

Par contre depuis 48 H recrudescence de mail de spam à répétition provenant de serveur dont les IP sont classifiés comme spam. 450/H de merde.
 
WRInaute passionné
Un grand nombre de hits, sur tous les sites web, viennent de robots d'attaque qui scannent le web à la recherche de failles, donc c'est normal.

Pas la peine d'emmerder ovh ou les flics avec ca.
 
Discussions similaires
Haut