Interdire les connexions via IP (serveur Apache)

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Interdire les connexions via IP (serveur Apache)

Messagepar D4rkXtaL » 27 Nov 2004 01:49

Bonjour,

depuis plusieurs jours je fais l'objet d'attaques incessantes sur mon serveur (scanner php et cgi, tentatives d'exploits, de BOF, de proxying et même DoS).

Le comportement ainsi que la fréquence des attaques me mènent à penser qu'il s'agit de virus ou de script kiddies scannant le réseau et lançant une floppée d'attaques automatisées dès qu'un port 80 ouvert est découvert.

Actuellement mon serveur encaisse parfaitement le choc et aucune faille n'a été trouvée. Par contre le serveur traite toutes les demandes et le nombre de hits généré et impressionnant, ce qui fait monter le processus en mémoire et cause des ralentissements et coupures.

Puisque ces connexions n'appellent jamais mon nom de domaine mais mon adresse IP, une solution serait de bloquer toute connexion ne se faisant pas explicitement par DNS.

En gros :

http://321.654.12.5 <---- refusé (403)
et
http://www.monsite.com (et sous-domaines) <----- accepté

Pour ce faire j'utilise le mod_rewrite d'Apache. Malheureusement je ne suis que très peu familier avec les règles de ce module et (malgré mon apprentissage forcé) tout ce que j'arrive à faire est, soit de tout bloquer, soit de n'interdire que l'affichage des images.

Je commence à désepérer :cry: (et surtout à manquer de sommeil)

Quelqu'un s'est-il déjà retrouvé dans ce cas ou aurait-il les connaissances nécessaires pour m'aider?

Je vous remercie d'avance :)
D4rkXtaL
Matelot
Matelot
 
Messages: 3
Inscrit le: 27 Nov 2004 01:21

Messagepar Henki » 29 Nov 2004 04:18

Salut,

Tu devrais pouvoir trouver ta solution sur le site suivant

http://www.webmaster-hub.com/publication/article5.html

Partie ;

Débarrassons-nous des visiteurs indésirables

Good luck
Avatar de l’utilisateur
Henki
Premier-Maître
Premier-Maître
 
Messages: 63
Inscrit le: 01 Oct 2003 00:00
Localisation: Near Paris

Messagepar Henki » 29 Nov 2004 04:19

Henki a écrit:Salut,

Meme si ce n'est pas exactement la solution que tu recherches, cela devrait pouvoir t'aider :

http://www.webmaster-hub.com/publication/article5.html

Partie ;

Débarrassons-nous des visiteurs indésirables

Good luck
Avatar de l’utilisateur
Henki
Premier-Maître
Premier-Maître
 
Messages: 63
Inscrit le: 01 Oct 2003 00:00
Localisation: Near Paris

Messagepar D4rkXtaL » 29 Nov 2004 14:47

Salut Henki,

je te remercie de ta réponse. Je connaissais cette page et j'ai déjà tenté plusieurs variantes de ces directives sans succès.

J'ai aussi tenté ça :

Code: Tout sélectionner
RewriteCond %{HTTP_REFERER} ^http://(.*\.)?[1-255]\.[1-255]\.[1-255]\.[1-255](/.*)?$ [NC]

mais ça ne fonctionne pas non plus. Je pense que c'est le {HTTP_REFERER} qui ne convient pas.

:)
D4rkXtaL
Matelot
Matelot
 
Messages: 3
Inscrit le: 27 Nov 2004 01:21

Messagepar tomtom » 29 Nov 2004 15:12

Je vois pas pourquoi tu t'embetes avec le mod_rewrite....

Il te suffit de faire des virtual hosts nommés...

Dans le default ( virtualhost _default_:80) tu mets une page statique avec ecrit forbiden, ou ce que tu veux...

et tu crées un virtual host avec ton nom de domaine :
<VirtualHost *:80>
DocumentRoot .....
ServerName www.mondomaine.com

....

</virtualhost>


et voila...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar D4rkXtaL » 30 Nov 2004 15:58

Salut tomtom,

je vais essayer ça, c'est vrai que ça a l'air plus simple que le mode rewrite.

:)
D4rkXtaL
Matelot
Matelot
 
Messages: 3
Inscrit le: 27 Nov 2004 01:21


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité