Attaques quotidiennes sur mes serveurs

[RomsIW]

Bonjour,

je traque les attaques quotidiennes qui sont faites sur mes serveurs et j'ai maintenant une liste d'IP / d'organisations relativement signifiante de tout cela. Existe-t-il des organisations d'état ou quelque chose où l'on puisse transmettre tout ça pour traquer les origines de ces attaques ?

Merci de vos conseils,

RB

 

[moktoipas]

A ton hebergeur peut-etre.

 

[RomsIW]

A ton hebergeur peut-etre.

ovh ? tu n'es pas sérieux "you can not be serious, man ?"

 

[moktoipas]

Ben si, surtout qu'ils ont des pb de perf a cause de ce genre d'attaque.

 

[RomsIW]

nan mais en fait j'ai déjà essayé, et pas eu de réponse. puis j'ai téléphoné, et on m'a dit d'envoyer un mail.. tu connais un autre moyen de les contacter ?

 

[moktoipas]

Tu peux essayer le forum, ca coute rien.

 

[Leonick]

ainsi que par ton interface d'admin OVH

 

[mahefarivony]

Pourquoi s'embeter a faire la chasse aux IP alors qu'il y a d'autres solutions plus radicales (firewall, iptables...) pour dégager de son serveur les excités du DOS et autres variantes ? (si c'est bien ce qu'entend l'auteur par attaques sur son serveur)

 

[MirageDemonAsh]

Bonjour,
Existe-t-il des organisations d'état ou quelque chose où l'on puisse transmettre tout ça pour traquer les origines de ces attaques ?
Merci de vos conseils,
RB

Oui :

Recherche whois de l'ip, il y a souvent une adresse abuse ( activities like spam, portscan and other, etc...) :

http://www.frameip.com/whois/

Multiplié par des milliers d'ip, ça va être long, mais c'est possible. Puis quand ce sera terminé, il y en aura un millier d'autres ^^

Ou adopter des solutions de contre-mesure (fail2ban/iptables/Apache, mod-evasive/etc)

Ou contacter OVH par mail oles@ovh.net

 

[MirageDemonAsh]

Bonus :

http://www.securiteinfo.com/conseils/po ... inte.shtml

 

[mahefarivony]

Multiplié par des milliers d'ip, ça va être long, mais c'est possible. Puis quand ce sera terminé, il y en aura un millier d'autres ^^

oui c'est exactement ça : le problème c'est que dans le cas d'attaques DDOS par exemple, ce sont des milliers (millions ?) d'ordinateurs "innocents" qui contribuent malgré eux (zombies) à l'attaque. J'ai eu le cas de tous les PC d'une "organisation" koweitienne qui étaient infectés et ils étaient même pas au courant

:arrow: c'est vraiment au niveau du firewall qu'il faut les bloquer car une fois qu'ils auront passé la barrière, les processus apache se lanceront quand meme en cas de requete ! Vite tués avec les différents mods (.htaccess, dos_evasive, etc.) mais ils se déclencheront quand meme !

 

[Julia41]

Fail2ban, règles IPTables, changement de port...
Par exemple, accès SSH, tu passes par le port 23, tu élimines un paqué d'attaque...
Apache, Tu as des mods comme le dit mahefarivony...

En tout cas, j'ignore de quels types d'attaque tu parles, mais tu as pleins de solutions pour te prémunir des attaques... Un peu plus de détails et nous pourrions peut-être plus t'orienter...

 

[RomsIW]

ce que j'appelle des attaques sont principalement des gens qui testent des trucs genre /phpMyAdmin/main.php et compagnie.. et qui doivent parfois réussir sur d'autres serveurs ?

 

[Leonick]

y a qu'à les bloquer dans le htaccess

 

[Julia41]

ce que j'appelle des attaques sont principalement des gens qui testent des trucs genre /phpMyAdmin/main.php et compagnie.. et qui doivent parfois réussir sur d'autres serveurs ?

Ca c'est le filtre apache-no-scripts dans fail2ban, ça marche très bien mais à configurer avec prudence...
Le principe de ce jail, dès qu'il trouve x erreurs 404 fait par un user, cet user est ban pendant x secondes...

 

[RomsIW]

ce que j'appelle des attaques sont principalement des gens qui testent des trucs genre /phpMyAdmin/main.php et compagnie.. et qui doivent parfois réussir sur d'autres serveurs ?

Ca c'est le filtre apache-no-scripts dans fail2ban, ça marche très bien mais à configurer avec prudence...
Le principe de ce jail, dès qu'il trouve x erreurs 404 fait par un user, cet user est ban pendant x secondes...

ça a l'air pas mal ça..

 

[Julia41]

ça a l'air pas mal ça..

Bah ça marche très très bien si ton site est bien codé... Ca m'ait déjà arrivé de me faire ban de mon propre serv (port 80 heuresement) en ayant déplacé un -http://site.com/prout/ en -http://prout.site.com
Mais pour ton SQL, tout le monde à accès à sql.free.fr, juste le pass et les chmods qui font la sécurité...

 

[cthierry]

Pareil pour moi c'est au final belle page blanche. Radical
Du genre "Directory Traversal '../../../../../../../../etc/passwd' found. "

Par contre depuis 48 H recrudescence de mail de spam à répétition provenant de serveur dont les IP sont classifiés comme spam. 450/H de merde.

 

[Darkcity]

Un grand nombre de hits, sur tous les sites web, viennent de robots d'attaque qui scannent le web à la recherche de failles, donc c'est normal.

Pas la peine d'emmerder ovh ou les flics avec ca.