Aller au contenu

Tentative d'intrusion


Sujets conseillés

Posté

Bonjour,


Tous les jours, j'ai 3 à 4 tentatives d'intrusion sur mon site avec des essais sous cette forme



/User/Register.aspx
/blogs/load/recent
/join.php
/YaBB.pl/
/YaBB.cgi/
/signup.php
/join.php
/signup
/CreateUser.asp
/signup
/join_form.php
/join.php
/login.php
/reg.php
/register.php
/member.php/register.php?type=company
/member/register.php?type=company
/register.php?type=company
/member.php/register.php?type=company
/member/register.php?type=company
/register.php?type=company
/register.php
/signup.php
/signup.php
/bokeindex.asp
/reg.asp
/login.php
/CreateUser.asp
/login.php
/register.php
/logging.php?action=login
/reg.asp

Pour l'instant, ces tentatives n'ont pas eu de succès mais connaissez-vous un moyen de bloquer ce genre de chose.


Je pensais à la création de pages ficitives portant le même nom et qui bloqueraient les auteurs de ces tentatives (j'ai leur IP)


Ou alors les renvoyer ailleurs


Merci pour vos idées


Posté

Le plus simple est de ne pas s'en occuper.

Car hormis perdre ton temps, tu ne pourras rien faire pour empêcher ça.

Posté

J'utilise fail2ban pour ça (j'allège les règles d'exclusion pour éviter les faux positifs) : dans l'idée, du genre :



[[]client (?P<host>\S*)[]] File does not exist: .*\.(php|asp|aspx|jsp)

plus précis :



[[]client <HOST>[]] (File does not exist|script not found or unable to stat): .*/(cgi-bin|admin|Admin|sql|mail|phpmyadmin|file:|php|pma|web|PMA|PMA2006|pma2006|sqlmanager|mysqlmanager|PMA2005|phpmyadmin-old|phpmyadminold|pma2005|phpmanager|mysql|myadmin|webadmin|sqlweb|websql|webdb|mysqladmin|mysql-admin|phpmyadmin2|phpMyAdmin2|phpMyAdmin-2|php-my-admin|cms|clan|site|seite|page|forum|wbb2|board|wbb|archive|forumv2|forumv1|b0ard|f0rum|wbb1|wbb3|wbblite|directforum|board23|board2|board3|WBB|WBB2|html|phpkit|page|phpkit_1.6.1|clan|myadmin|webadmin|sqlweb|websql|webdb|mysqladmin|mysql-admin|phpmyadmin2|php-my-admin|phpMyAdmin-2.2.3|phpMyAdmin-2.2.6|phpMyAdmin-2.5.1|phpMyAdmin-2.5.4|phpMyAdmin-2.5.6|phpMyAdmin-2.6.0|phpMyAdmin-2.6.0-pl1|phpMyAdmin-2.6.2-rc1|phpMyAdmin-2.6.3|phpMyAdmin-2.6.3-pl1|phpMyAdmin-2.6.3-rc1|padmin|datenbank|database|horde|horde2|horde3|horde-3.0.9|Horde|README|horde-3.0.9|adserver|phpAdsNew|phpadsnew|phpads|Ads|ads|xmlrpc|xmlsrv|blog|drupal|community|blogs|blogtest|appserver|roundcube|rc|mail|mail2|roundcubemail|rms|webmail2|webmail|wm|bin|roundcubemail-0.1|roundcubemail-0.2|roundcube-0.1|roundcube-0.2|roun|cube|wp-login.php|ucp.php|\.asp|\.dll|\.exe|\.pl)

A utiliser avec précaution, mais ça en vire pas mal (ça vire potentiellement les vrais utilisateurs si t'as des 404... donc faire gaffe selon tes sites à virer ou à ajouter des règles).



Enfin, c'est surtout pour dire que l'on est pas obligé de "ne rien faire". D'autre part, je vire définitivement les IPs insistantes.


Posté

PS : si tu n'as pas un dédié pour tu aussi gérer les 404, et s'ils sont répétés mettre un deny from xx.xx.xx.xx dans ton htaccess.


Posté

Merci SStephane, je vais regarder çà car ils commencent un peu à m'exciter. Une fois ou deux de temps en temps, je veux bien mais 3 ou 4 fois par jour, c'est trop.


Et puis à force, il vont bien finir par trouver.


Posté (modifié)

Merci SStephane, je vais regarder çà car ils commencent un peu à m'exciter. Une fois ou deux de temps en temps, je veux bien mais 3 ou 4 fois par jour, c'est trop.

Et puis à force, il vont bien finir par trouver.

3 ou 4 fois par jour ce n'est rien du tout. Des attaques de ce genre on peut en compter des centaines/milliers par jour sans que cela soit vraiment un problème.

Vouloir "combattre" pour "punir" n'est qu'une perte de temps, en face tu as des robots qui font ça à la pelle de manière totalement automatisé.

Attention également à fail2ban, qui même très bien configuré, apporte souvent plus de problème aux vrais visiteurs (faux positifs) qu'aux attaquants.

Le seul point important est d'avoir des scripts fiables, ni plus ni moins pour assurer la parfaite sécurité d'un site.

A noter également que vouloir effectuer une action de ban sur un 404 est le meilleur moyen de bloquer un crawler Google, avec toutes les conséquences que cela peut avoir.

Modifié par hsdino
Posté

Important de connaitre la motivation des attaquants... ce n'est pas de faire tomber un site, mais beaucoup d'un coup dans le cas ou l'on ne présente qu'un intérêt financier relatif (j'aurais beaucoup à dire là dessus).


Mon point de vue est d'empêcher purement et simplement les kiddies d'identifier un script connu pour l'exploiter au moment ou une faille sera déclarée sur celui-ci.




Attention également à fail2ban, qui même très bien configuré, apporte souvent plus de problème aux vrais visiteurs (faux positifs) qu'aux attaquants.



Les faux positifs, quand un fail2ban est "très bien configuré" (même dans le cas ou un concurent me voudrait du mal, avec un peu d'imagination, tu comprendras ce que je veux dire), j'en ai jamais eu en prod.



Je suis d'accord avec toi sur le principe, mais je ne peux te laisser dire (même sous-entendre) que ca crée plus de problèmes que ça n'en résoud.




A noter également que vouloir effectuer une action de ban sur un 404 est le meilleur moyen de bloquer un crawler Google




Nous n'avons donc pas pas même notion du fail2ban "très bien configuré", je suis rassuré wink.gif


Posté (modifié)

Important de connaitre la motivation des attaquants... ce n'est pas de faire tomber un site, mais beaucoup d'un coup dans le cas ou l'on ne présente qu'un intérêt financier relatif (j'aurais beaucoup à dire là dessus).

Mon point de vue est d'empêcher purement et simplement les kiddies d'identifier un script connu pour l'exploiter au moment ou une faille sera déclarée sur celui-ci.

Les faux positifs, quand un fail2ban est "très bien configuré" (même dans le cas ou un concurent me voudrait du mal, avec un peu d'imagination, tu comprendras ce que je veux dire), j'en ai jamais eu en prod.

Je suis d'accord avec toi sur le principe, mais je ne peux te laisser dire (même sous-entendre) que ca crée plus de problèmes que ça n'en résoud.

Nous n'avons donc pas pas même notion du fail2ban "très bien configuré", je suis rassuré wink.gif

Mon point de vue en revanche est que la sécurité ne doit pas reposer sur le secret mais la fiabilité.

Au delà de ce point de vue, c'est toute la sécurité numérique moderne qui repose sur ce concept.

Je reste d'accord sur le principe du "vivons heureux vivons caché", mais ce principe de sécurité cache malheureusement trop souvent des scripts bancales et bourrés de failles de sécurité dont les concepteurs préférent masquer leurs erreurs avec des protections en amont qui ne sont que rarement fiable à 100%.

C'est sur cette idée que je me permets d'ajouter un point d'exclamation à fail2ban. Loin de moi l'idée de remettre en question tes talents dans la configuration de ce merveilleux outil, mais malheureusement nombreux sont ceux qui utilisent mal fail2ban, qui reste tout de même dangeureux s'il n'est pas adapté à la situation. Je suis convaincu qu'il s'agit d'un outil qui nécessite une configuration précise à une problématique précise, cependant on trouve trop souvent des configurations "types" appliquées à tout et n'importe quoi et modifier un peu selon le sens du vent, tel une machine dont on tournerait les boutons un peu dans tous les sens pour trouver le comportement le moins pire.

Modifié par hsdino
Posté

Fail2ban est un outil, rien de plus. Mal utilisé, c'est pourri ... et je rejoins ton point de vue sur le bannissement aveugle des 404 répétés.



Je te remercie de mettre en avant mon "talent" dans la config de fail2ban (ton cynisme répond au mien qui était peut-être déplacé -auquel cas, je m'en excuse-), je pense sincérement qu'avec un minimum d'investissement, on arrive à une configuration plus qu'acceptable.





nombreux sont ceux qui utilisent mal fail2ban, qui reste tout de même dangeureux s'il n'est pas adapté à la situation




On a d'ailleurs tous été victime de ses propres règles (3 mot de passe ratés, reviens dans 10 minutes wink.gif )





on trouve trop souvent des configurations "types" appliquées à tout et n'importe quoi




Je te concède ça ! dès lors que le produit est livré avec un config moyenne (notamment pour apache et postfix, pas pour ssh)



Mais sur des 401 répétés, sur des 404 abusés... (genre .*phpmyadmin.* ce qui entre dans le cas de figure d'alain non ?) on peut facilement éviter les faux positifs car à l'inverse de beaucoup d'autres outils, c'est tout de même très simple à utiliser,et il est simplement dommage de s'en priver !


  • 3 months later...
Posté

Fail2ban peut effectivement metre à jour iptables, ou /etc/hosts.deny


Mais ça cache la misère, tes logs seront un peu plus propres, mais les attaquent ne s'arrêteront pas.


Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...