J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"\x81Vi\x9d\x8f\xac\xaf@\x02\xd18\x95\xf1OE\x9d\xb4a" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?
Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find
156.93.11.117.in-addr.arpa: NXDOMAIN» ?
Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la
directive deny de mon apache, les requêtes ont continué bien que la page
403 soit renvoyée.
J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i
eth0 -s 217.23.140.162/16 -j DROP'.
Cette commande est-elle correcte ?
Merci de vos avis.
--
> la plupart des automobilistes n'ont aucune idée de comment fonctionne
> une moto
Si : trop vite, et en faisant trop de bruit.
Hugo (né il y a 1 382 885 726 secondes)
C'est sans doute un débat sans fin, de savoir s'il faut filter par sous-réseau ou pas, et de quelle taille
C'est surtout dépendant de la cible de tes sites web (ou de ton serveur en général). Si c'est un serveur de jeux pour toi et tes potes, ou s'il héberge une boutique qui ne livre qu'en France, tu peux blacklister toute la Russie et la Chine sans problème.
On 20 Feb 2008 23:03:58 GMT, mpg <mpg@elzevir.fr>:
C'est sans doute un débat sans fin, de savoir s'il faut filter par
sous-réseau ou pas, et de quelle taille
C'est surtout dépendant de la cible de tes sites web (ou de ton
serveur en général).
Si c'est un serveur de jeux pour toi et tes potes, ou s'il héberge une
boutique qui ne livre qu'en France, tu peux blacklister toute la
Russie et la Chine sans problème.
C'est sans doute un débat sans fin, de savoir s'il faut filter par sous-réseau ou pas, et de quelle taille
C'est surtout dépendant de la cible de tes sites web (ou de ton serveur en général). Si c'est un serveur de jeux pour toi et tes potes, ou s'il héberge une boutique qui ne livre qu'en France, tu peux blacklister toute la Russie et la Chine sans problème.
Hugolino
Le 21 Feb 2008 09:46:42 GMT, Stephane Catteau a écrit:
Hugolino n'était pas loin de dire :
Et je m'aperçois que j'ai des lignes comme celle-ci: 212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol" 400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de Debian...
Et il reste quelques liens tenances quelque part du côté de la Chine, ce qui explique probablement les requêtes que tu reçois. Par contre je ne m'explique pas le fichier que le serveur sert en retour.
Ainsi que le fait remarquer vlad_imir, il doit s'agir d'une simple requête http sur mon adresse IP, et mon serveur renvoie ma page d'index qui fait environ 21 ko (la taille n'est pas constante car elle contient du javascript de last.fm)
Merci à vous tous.
--
netmask: host name lookup failure netmask en short dans le DNS.
-+- CB in Guide de linuxien pervers - Réseau en vacances, repassez plus tard Hugo (né il y a 1 383 073 798 secondes)
Le 21 Feb 2008 09:46:42 GMT, Stephane Catteau a écrit:
Hugolino n'était pas loin de dire :
Et je m'aperçois que j'ai des lignes comme celle-ci:
212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol"
400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de
Debian...
Et il reste quelques liens tenances quelque part du côté de la Chine,
ce qui explique probablement les requêtes que tu reçois. Par contre je
ne m'explique pas le fichier que le serveur sert en retour.
Ainsi que le fait remarquer vlad_imir, il doit s'agir d'une simple
requête http sur mon adresse IP, et mon serveur renvoie ma page d'index
qui fait environ 21 ko (la taille n'est pas constante car elle contient
du javascript de last.fm)
Merci à vous tous.
--
netmask: host name lookup failure
netmask en short dans le DNS.
-+- CB in Guide de linuxien pervers - Réseau en vacances, repassez plus tard
Hugo (né il y a 1 383 073 798 secondes)
Le 21 Feb 2008 09:46:42 GMT, Stephane Catteau a écrit:
Hugolino n'était pas loin de dire :
Et je m'aperçois que j'ai des lignes comme celle-ci: 212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol" 400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de Debian...
Et il reste quelques liens tenances quelque part du côté de la Chine, ce qui explique probablement les requêtes que tu reçois. Par contre je ne m'explique pas le fichier que le serveur sert en retour.
Ainsi que le fait remarquer vlad_imir, il doit s'agir d'une simple requête http sur mon adresse IP, et mon serveur renvoie ma page d'index qui fait environ 21 ko (la taille n'est pas constante car elle contient du javascript de last.fm)
Merci à vous tous.
--
netmask: host name lookup failure netmask en short dans le DNS.
-+- CB in Guide de linuxien pervers - Réseau en vacances, repassez plus tard Hugo (né il y a 1 383 073 798 secondes)
Benoit Izac
Bonjour,
le 21/02/2008 à 13:50, Fabien LE a écrit dans le message :
C'est sans doute un débat sans fin, de savoir s'il faut filter par sous-réseau ou pas, et de quelle taille
C'est surtout dépendant de la cible de tes sites web (ou de ton serveur en général). Si c'est un serveur de jeux pour toi et tes potes, ou s'il héberge une boutique qui ne livre qu'en France, tu peux blacklister toute la Russie et la Chine sans problème.
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
-- Benoit Izac
Bonjour,
le 21/02/2008 à 13:50, Fabien LE a écrit dans le message
<spsqr3lt20jp5ouieepk7agarpo9q6cf6o@4ax.com> :
C'est sans doute un débat sans fin, de savoir s'il faut filter par
sous-réseau ou pas, et de quelle taille
C'est surtout dépendant de la cible de tes sites web (ou de ton
serveur en général).
Si c'est un serveur de jeux pour toi et tes potes, ou s'il héberge une
boutique qui ne livre qu'en France, tu peux blacklister toute la
Russie et la Chine sans problème.
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit
de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
le 21/02/2008 à 13:50, Fabien LE a écrit dans le message :
C'est sans doute un débat sans fin, de savoir s'il faut filter par sous-réseau ou pas, et de quelle taille
C'est surtout dépendant de la cible de tes sites web (ou de ton serveur en général). Si c'est un serveur de jeux pour toi et tes potes, ou s'il héberge une boutique qui ne livre qu'en France, tu peux blacklister toute la Russie et la Chine sans problème.
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
-- Benoit Izac
Fabien LE LEZ
On 23 Feb 2008 10:20:23 GMT, Benoit Izac :
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
Il s'agit de comparer la perte de CA liée au blacklistage de ces régions, avec la perte de temps liée aux machines offensives qui s'y trouvent.
Mieux vaut perdre une faible activité potentielle, plutôt que prendre le risque de perdre une forte activité réelle si le serveur tombe.
On 23 Feb 2008 10:20:23 GMT, Benoit Izac :
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit
de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
Il s'agit de comparer la perte de CA liée au blacklistage de ces
régions, avec la perte de temps liée aux machines offensives qui s'y
trouvent.
Mieux vaut perdre une faible activité potentielle, plutôt que prendre
le risque de perdre une forte activité réelle si le serveur tombe.
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
Il s'agit de comparer la perte de CA liée au blacklistage de ces régions, avec la perte de temps liée aux machines offensives qui s'y trouvent.
Mieux vaut perdre une faible activité potentielle, plutôt que prendre le risque de perdre une forte activité réelle si le serveur tombe.
Stephane Catteau
Fabien LE LEZ devait dire quelque chose comme ceci :
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
Il s'agit de comparer la perte de CA liée au blacklistage de ces régions, avec la perte de temps liée aux machines offensives qui s'y trouvent.
Mieux vaut perdre une faible activité potentielle, plutôt que prendre le risque de perdre une forte activité réelle si le serveur tombe.
Bof. Là on parle quand même du blacklistage de région entière, donc de mesure préventive contre les kiddy et les pirates occasionnels. Ils sont certes une gêne, mais un petit script fait maison suffit pour bloquer le subnet durant une heure[1], le temps de décourager l'importunt. La gêne réelle, celle qui ferait vraiment perdre du temps, viendra d'attaquant plus évolué, et à il ne te faudra pas une journée avant de te retrouvé coupé de la terre entière.
La seule exception, c'est le cas à l'origine de la discussion, les requêtes sur des liens qui n'existent plus. Mais tous les serveurs sont concernés par ce cas. Ce qu'il faudrait (mais je ne sais pas si ça existe), c'est un analyseur de logs qui aurait de la mémoire et reconnaitrait donc ces requêtes comme valides, même si elles concernent une URL qui n'existe plus depuis un moment.
[1] Ou mieux quelques règles PF bien senties, qui feront la même chose sans que tu n'ais à intervenir.
Fabien LE LEZ devait dire quelque chose comme ceci :
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit
de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
Il s'agit de comparer la perte de CA liée au blacklistage de ces
régions, avec la perte de temps liée aux machines offensives qui s'y
trouvent.
Mieux vaut perdre une faible activité potentielle, plutôt que prendre
le risque de perdre une forte activité réelle si le serveur tombe.
Bof. Là on parle quand même du blacklistage de région entière, donc de
mesure préventive contre les kiddy et les pirates occasionnels. Ils
sont certes une gêne, mais un petit script fait maison suffit pour
bloquer le subnet durant une heure[1], le temps de décourager
l'importunt.
La gêne réelle, celle qui ferait vraiment perdre du temps, viendra
d'attaquant plus évolué, et à il ne te faudra pas une journée avant de
te retrouvé coupé de la terre entière.
La seule exception, c'est le cas à l'origine de la discussion, les
requêtes sur des liens qui n'existent plus. Mais tous les serveurs sont
concernés par ce cas. Ce qu'il faudrait (mais je ne sais pas si ça
existe), c'est un analyseur de logs qui aurait de la mémoire et
reconnaitrait donc ces requêtes comme valides, même si elles concernent
une URL qui n'existe plus depuis un moment.
[1]
Ou mieux quelques règles PF bien senties, qui feront la même chose
sans que tu n'ais à intervenir.
Fabien LE LEZ devait dire quelque chose comme ceci :
Et pourquoi le gars qui travaille à l'étranger n'aurait-il pas le droit de jouer ou de faire des cadeaux à ses proches qui vivent en France ?
Il s'agit de comparer la perte de CA liée au blacklistage de ces régions, avec la perte de temps liée aux machines offensives qui s'y trouvent.
Mieux vaut perdre une faible activité potentielle, plutôt que prendre le risque de perdre une forte activité réelle si le serveur tombe.
Bof. Là on parle quand même du blacklistage de région entière, donc de mesure préventive contre les kiddy et les pirates occasionnels. Ils sont certes une gêne, mais un petit script fait maison suffit pour bloquer le subnet durant une heure[1], le temps de décourager l'importunt. La gêne réelle, celle qui ferait vraiment perdre du temps, viendra d'attaquant plus évolué, et à il ne te faudra pas une journée avant de te retrouvé coupé de la terre entière.
La seule exception, c'est le cas à l'origine de la discussion, les requêtes sur des liens qui n'existent plus. Mais tous les serveurs sont concernés par ce cas. Ce qu'il faudrait (mais je ne sais pas si ça existe), c'est un analyseur de logs qui aurait de la mémoire et reconnaitrait donc ces requêtes comme valides, même si elles concernent une URL qui n'existe plus depuis un moment.
[1] Ou mieux quelques règles PF bien senties, qui feront la même chose sans que tu n'ais à intervenir.
