Alainp Posté 28 Mai 2013 Posté 28 Mai 2013 Bonjour, Tous les jours, j'ai 3 à 4 tentatives d'intrusion sur mon site avec des essais sous cette forme /User/Register.aspx /blogs/load/recent /join.php /YaBB.pl/ /YaBB.cgi/ /signup.php /join.php /signup /CreateUser.asp /signup /join_form.php /join.php /login.php /reg.php /register.php /member.php/register.php?type=company /member/register.php?type=company /register.php?type=company /member.php/register.php?type=company /member/register.php?type=company /register.php?type=company /register.php /signup.php /signup.php /bokeindex.asp /reg.asp /login.php /CreateUser.asp /login.php /register.php /logging.php?action=login /reg.asp Pour l'instant, ces tentatives n'ont pas eu de succès mais connaissez-vous un moyen de bloquer ce genre de chose. Je pensais à la création de pages ficitives portant le même nom et qui bloqueraient les auteurs de ces tentatives (j'ai leur IP) Ou alors les renvoyer ailleurs Merci pour vos idées
hsdino Posté 28 Mai 2013 Posté 28 Mai 2013 Le plus simple est de ne pas s'en occuper. Car hormis perdre ton temps, tu ne pourras rien faire pour empêcher ça.
Alainp Posté 28 Mai 2013 Auteur Posté 28 Mai 2013 Tu as raison mais j'aurai bien voulu "punir" ces intrus
SStephane Posté 28 Mai 2013 Posté 28 Mai 2013 J'utilise fail2ban pour ça (j'allège les règles d'exclusion pour éviter les faux positifs) : dans l'idée, du genre : [[]client (?P<host>\S*)[]] File does not exist: .*\.(php|asp|aspx|jsp) plus précis : [[]client <HOST>[]] (File does not exist|script not found or unable to stat): .*/(cgi-bin|admin|Admin|sql|mail|phpmyadmin|file:|php|pma|web|PMA|PMA2006|pma2006|sqlmanager|mysqlmanager|PMA2005|phpmyadmin-old|phpmyadminold|pma2005|phpmanager|mysql|myadmin|webadmin|sqlweb|websql|webdb|mysqladmin|mysql-admin|phpmyadmin2|phpMyAdmin2|phpMyAdmin-2|php-my-admin|cms|clan|site|seite|page|forum|wbb2|board|wbb|archive|forumv2|forumv1|b0ard|f0rum|wbb1|wbb3|wbblite|directforum|board23|board2|board3|WBB|WBB2|html|phpkit|page|phpkit_1.6.1|clan|myadmin|webadmin|sqlweb|websql|webdb|mysqladmin|mysql-admin|phpmyadmin2|php-my-admin|phpMyAdmin-2.2.3|phpMyAdmin-2.2.6|phpMyAdmin-2.5.1|phpMyAdmin-2.5.4|phpMyAdmin-2.5.6|phpMyAdmin-2.6.0|phpMyAdmin-2.6.0-pl1|phpMyAdmin-2.6.2-rc1|phpMyAdmin-2.6.3|phpMyAdmin-2.6.3-pl1|phpMyAdmin-2.6.3-rc1|padmin|datenbank|database|horde|horde2|horde3|horde-3.0.9|Horde|README|horde-3.0.9|adserver|phpAdsNew|phpadsnew|phpads|Ads|ads|xmlrpc|xmlsrv|blog|drupal|community|blogs|blogtest|appserver|roundcube|rc|mail|mail2|roundcubemail|rms|webmail2|webmail|wm|bin|roundcubemail-0.1|roundcubemail-0.2|roundcube-0.1|roundcube-0.2|roun|cube|wp-login.php|ucp.php|\.asp|\.dll|\.exe|\.pl) A utiliser avec précaution, mais ça en vire pas mal (ça vire potentiellement les vrais utilisateurs si t'as des 404... donc faire gaffe selon tes sites à virer ou à ajouter des règles). Enfin, c'est surtout pour dire que l'on est pas obligé de "ne rien faire". D'autre part, je vire définitivement les IPs insistantes.
SStephane Posté 28 Mai 2013 Posté 28 Mai 2013 PS : si tu n'as pas un dédié pour tu aussi gérer les 404, et s'ils sont répétés mettre un deny from xx.xx.xx.xx dans ton htaccess.
Alainp Posté 28 Mai 2013 Auteur Posté 28 Mai 2013 Merci SStephane, je vais regarder çà car ils commencent un peu à m'exciter. Une fois ou deux de temps en temps, je veux bien mais 3 ou 4 fois par jour, c'est trop. Et puis à force, il vont bien finir par trouver.
hsdino Posté 29 Mai 2013 Posté 29 Mai 2013 (modifié) Merci SStephane, je vais regarder çà car ils commencent un peu à m'exciter. Une fois ou deux de temps en temps, je veux bien mais 3 ou 4 fois par jour, c'est trop. Et puis à force, il vont bien finir par trouver. 3 ou 4 fois par jour ce n'est rien du tout. Des attaques de ce genre on peut en compter des centaines/milliers par jour sans que cela soit vraiment un problème. Vouloir "combattre" pour "punir" n'est qu'une perte de temps, en face tu as des robots qui font ça à la pelle de manière totalement automatisé. Attention également à fail2ban, qui même très bien configuré, apporte souvent plus de problème aux vrais visiteurs (faux positifs) qu'aux attaquants. Le seul point important est d'avoir des scripts fiables, ni plus ni moins pour assurer la parfaite sécurité d'un site. A noter également que vouloir effectuer une action de ban sur un 404 est le meilleur moyen de bloquer un crawler Google, avec toutes les conséquences que cela peut avoir. Modifié 29 Mai 2013 par hsdino
SStephane Posté 31 Mai 2013 Posté 31 Mai 2013 Important de connaitre la motivation des attaquants... ce n'est pas de faire tomber un site, mais beaucoup d'un coup dans le cas ou l'on ne présente qu'un intérêt financier relatif (j'aurais beaucoup à dire là dessus). Mon point de vue est d'empêcher purement et simplement les kiddies d'identifier un script connu pour l'exploiter au moment ou une faille sera déclarée sur celui-ci. Attention également à fail2ban, qui même très bien configuré, apporte souvent plus de problème aux vrais visiteurs (faux positifs) qu'aux attaquants. Les faux positifs, quand un fail2ban est "très bien configuré" (même dans le cas ou un concurent me voudrait du mal, avec un peu d'imagination, tu comprendras ce que je veux dire), j'en ai jamais eu en prod. Je suis d'accord avec toi sur le principe, mais je ne peux te laisser dire (même sous-entendre) que ca crée plus de problèmes que ça n'en résoud. A noter également que vouloir effectuer une action de ban sur un 404 est le meilleur moyen de bloquer un crawler Google Nous n'avons donc pas pas même notion du fail2ban "très bien configuré", je suis rassuré
hsdino Posté 31 Mai 2013 Posté 31 Mai 2013 (modifié) Important de connaitre la motivation des attaquants... ce n'est pas de faire tomber un site, mais beaucoup d'un coup dans le cas ou l'on ne présente qu'un intérêt financier relatif (j'aurais beaucoup à dire là dessus). Mon point de vue est d'empêcher purement et simplement les kiddies d'identifier un script connu pour l'exploiter au moment ou une faille sera déclarée sur celui-ci. Les faux positifs, quand un fail2ban est "très bien configuré" (même dans le cas ou un concurent me voudrait du mal, avec un peu d'imagination, tu comprendras ce que je veux dire), j'en ai jamais eu en prod. Je suis d'accord avec toi sur le principe, mais je ne peux te laisser dire (même sous-entendre) que ca crée plus de problèmes que ça n'en résoud. Nous n'avons donc pas pas même notion du fail2ban "très bien configuré", je suis rassuré Mon point de vue en revanche est que la sécurité ne doit pas reposer sur le secret mais la fiabilité. Au delà de ce point de vue, c'est toute la sécurité numérique moderne qui repose sur ce concept. Je reste d'accord sur le principe du "vivons heureux vivons caché", mais ce principe de sécurité cache malheureusement trop souvent des scripts bancales et bourrés de failles de sécurité dont les concepteurs préférent masquer leurs erreurs avec des protections en amont qui ne sont que rarement fiable à 100%. C'est sur cette idée que je me permets d'ajouter un point d'exclamation à fail2ban. Loin de moi l'idée de remettre en question tes talents dans la configuration de ce merveilleux outil, mais malheureusement nombreux sont ceux qui utilisent mal fail2ban, qui reste tout de même dangeureux s'il n'est pas adapté à la situation. Je suis convaincu qu'il s'agit d'un outil qui nécessite une configuration précise à une problématique précise, cependant on trouve trop souvent des configurations "types" appliquées à tout et n'importe quoi et modifier un peu selon le sens du vent, tel une machine dont on tournerait les boutons un peu dans tous les sens pour trouver le comportement le moins pire. Modifié 31 Mai 2013 par hsdino
SStephane Posté 31 Mai 2013 Posté 31 Mai 2013 Fail2ban est un outil, rien de plus. Mal utilisé, c'est pourri ... et je rejoins ton point de vue sur le bannissement aveugle des 404 répétés. Je te remercie de mettre en avant mon "talent" dans la config de fail2ban (ton cynisme répond au mien qui était peut-être déplacé -auquel cas, je m'en excuse-), je pense sincérement qu'avec un minimum d'investissement, on arrive à une configuration plus qu'acceptable. nombreux sont ceux qui utilisent mal fail2ban, qui reste tout de même dangeureux s'il n'est pas adapté à la situation On a d'ailleurs tous été victime de ses propres règles (3 mot de passe ratés, reviens dans 10 minutes ) on trouve trop souvent des configurations "types" appliquées à tout et n'importe quoi Je te concède ça ! dès lors que le produit est livré avec un config moyenne (notamment pour apache et postfix, pas pour ssh) Mais sur des 401 répétés, sur des 404 abusés... (genre .*phpmyadmin.* ce qui entre dans le cas de figure d'alain non ?) on peut facilement éviter les faux positifs car à l'inverse de beaucoup d'autres outils, c'est tout de même très simple à utiliser,et il est simplement dommage de s'en priver !
NetAccroc Posté 1 Juin 2013 Posté 1 Juin 2013 Salut, il n'existe pas un moyen d'iptables cela ? Ou bien utiliser fail2ban pour qu'il bannisse les ips qui tentent l'intrusion.
pluriels Posté 15 Septembre 2013 Posté 15 Septembre 2013 Fail2ban peut effectivement metre à jour iptables, ou /etc/hosts.deny Mais ça cache la misère, tes logs seront un peu plus propres, mais les attaquent ne s'arrêteront pas.
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant