Re: NIMDA

[Stephane Leclerc <sleclerc@actionweb.fr>]

>> # routine iptable pour filtrage http
>> iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK ACK --dport 80 -m string
>> --string 'root.exe' -j REJECT --reject-with tcp-reset
> 
> 
> C'est surement très efficace, mais ça me semble un peu brutal de bloquer
> une IP. Celle-ci peut être celle d'un proxy ou une adresse dynamique
> et peut bloquer d'autres utilisateurs que l'utilisateur "virusé".
> 
> Pour limiter ce risque, il faudrait associer à chaque blocage un timeout
> pour qu'il ne soit effectif que pendant un laps de temps (1/4 d'heure
> par exemple).
> 
> Cela complique les scripts et peut demander d'avoir recours à un cron,
> mais ce doit rester possible ;=) ...

C'est effectivement le problème. J'ai regardé les IP. Il y a effectivement
beaucoup de "NT" en frontal de lignes ADSL ou autres. 70% des IP n'ont pas
de reverse dns.

Sans compter que certaines IP sont en fait des points d'accès remote genre
pop rtc des fournisseurs d'accès.

C'est le problème de la méthode des script basés sur l'analyse des log
Apache. Avec la chaîne iptables, il n'y a pas ce problème car la règle
n'agit que si la chaîne du virus est trouvé.

J'ai regardé avec ipchains mais je n'ai pas trouvé comment faire
l'équivalent de la règle iptables.

Stef...



..........................................................
.  Linux - Debian - php4 - Apache - MySQL - Infogerance  .
.   email: info@actionweb.fr - http://www.actionweb.fr   .
.     Tel: (0)141 906 100    -    Fax: (0)141 906 101    .
..........................................................