regle ip table

WRInaute occasionnel
Bonjour,
Mon site se fait quotidiennement injecter des fichiers de type perl depuis trois jours, j'utilise joomla, et à chaque fois l'injection se fait via un module PAR DEFAUT du CMS. Je voudrais mettre en place une regle ip table pour empecher des requestes et automatiquement blacklister les ips avec fail2ban, en faisant des recherches je suis tombé sur un tuto sur un site qui ne m a pas l air tres actif, du coup je pause ma question ici pour avoir votre avis sur la regle à mettre en place :



Code:
iptables -I INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 80 -m string --to 700 \ --algo bm --string  'GET /modules/coppermine/themes/default/theme.php?THEME_DIR='  'Host: xxx.xxx.xxx.xxx' -j DROP

l'article original est ici :
http://spamcleaner.org/fr/misc/w00tw00t.html


Merci par avance
 
WRInaute occasionnel
Je pense que tu prends le problème dans le mauvais sens.

Pourquoi chercher à empécher les internautes (les blacklistés) d'accéder au site ou plutôt, pourquoi ne pas mettre à jour ta version de Joomla ?

Le problème que tu cites est peut être déjà connu de la communauté et même corrigé....

Ce ne sont que des questions :wink:
 
WRInaute occasionnel
Merci pour ta remarque, vérifier ma version de joomla....c'est ce que je fais tres regiulierement, c'est la 1.5.22 qui tourne. Je ne vois pas en quoi je prends le probleme à l'envers, vu qu'il s'agit de requetes connues de tous et qui ont pour but de detecter et de blacklister (effectivement) des script kiddies (visiteurs indésirables) qui s'interessent à mon site.
 
WRInaute occasionnel
Je pensais "il prend peut être le problème à l'envers" en me disant : si il a une version pas à jour de jour de joomla, le problème auquel il est confronté est peut être résolu dans les nouvelles versions :wink:

D'où le fait de ne pas s'embêter à implémenter un script de blacklistage d'IPs si on met à jour Joomla...

Effectivement, ta version est à jour ( [EDIT : il y a la 1.6 qui tourne actuellement]), mais regardes si le problème ne peut pas être traité via un correctif de Joomla pour clore cette faille...
 
WRInaute passionné
@hanlin: oui tu prends le problème dans le mauvais sens car tu cherches à traiter "après" la découverte.
Tu auras toujours des scanneurs, fouineurs.
Tu devrais t'orienter du côté de fail2ban et du jail "apache no script", en l'adaptant il pourrait faire la même chose que tu veux de manière plus propre. Demander à iptables de vérifier toutes ces strings est plutôt mauvais, il faut filtrer un peu plus haut.
Le faire par apache (.htaccess) serait plus simple aussi je pense ;)
 
Discussions similaires
Haut