[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [IPTABLES] Comment lister les paquets rejetés ?

Le 7 juin 14 à 14:31, andre_debian@numericable.fr a écrit :

On Saturday 07 June 2014 14:18:23 Philippe Gras wrote:
C'était du brute force et non du ddos, donc son script n'avait de
conséquences que dans l'administration : 15.000 requêtes par jour 
et par action, sur la même page, et tout le backend ramait 
comme pas possible ! 

Ça vous intéresse de savoir comment j'ai fait ?
Ph. Gras

Oui, 
car mon site reçoit des requêtes permanentes
sur des pages obsolètes et/ou sur des chemins qui
n'existent pas... etc :
400 Bad Request
403 Forbidden
404 Not Found

Pour ce qui est des 400, de certaines 404 et 403, je pense que tu peux t'inspirer de ça:
http://spamcleaner.org/fr/misc/w00tw00t.html

Je vais d'ailleurs le faire moi-même, parce que j'ai plein de requêtes avec cette chaîne :
FCKeditor qui doit correspondre à un espace d'administration d'un CMS quelconque et
ça correspondrait à de l'exploit.

302 tentative d'attaques

Par contre, pour celles qui correspondent à ton, ou tes domaines et les redirections 302
tu ferais mieux de les laisser accessibles, pour ne pas cramer ton référencement naturel.

Mais ce que j'ai réussi à faire n'a rien à voir puisqu'il s'agissait de bannir le pirate en train
d'attaquer. Ça l'a stoppé net une première fois, il a changé de serveur et d'IP, mais j'ai pu
le remarquer, et recommencer. Il a abandonné cette nuit-là. Ça dure depuis lundi.
=====================================================================
# iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
# iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 80 -s 72.44.248.136 -j DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 80 -s 66.23.229.10 -j DROP
=====================================================================
Dans mes logs, ça donne ça :
=====================================================================
72.44.248.136 - - [06/Jun/2014:00:55:58 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-"
72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-"
72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-"
72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-"
66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-"
66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-"
66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-"
66.23.229.10 - - [06/Jun/2014:00:56:06 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-"
=====================================================================
L'astuce, c'est après avoir rejeté l'IP en INPUT, on la rejette en RELATED,ESTABLISHED
également (parce que le bot est connecté). Ça le déconnecte, et il ne peut plus revenir se
connecter une nouvelle fois. Enjoy !

André

--
Lisez la FAQ de la liste avant de poser une question :

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org


Reply to: