>> # routine iptable pour filtrage http >> iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK ACK --dport 80 -m string >> --string 'root.exe' -j REJECT --reject-with tcp-reset > > > C'est surement tr�s efficace, mais �a me semble un peu brutal de bloquer > une IP. Celle-ci peut �tre celle d'un proxy ou une adresse dynamique > et peut bloquer d'autres utilisateurs que l'utilisateur "virus�". > > Pour limiter ce risque, il faudrait associer � chaque blocage un timeout > pour qu'il ne soit effectif que pendant un laps de temps (1/4 d'heure > par exemple). > > Cela complique les scripts et peut demander d'avoir recours � un cron, > mais ce doit rester possible ;=) ...
C'est effectivement le probl�me. J'ai regard� les IP. Il y a effectivement beaucoup de "NT" en frontal de lignes ADSL ou autres. 70% des IP n'ont pas de reverse dns. Sans compter que certaines IP sont en fait des points d'acc�s remote genre pop rtc des fournisseurs d'acc�s. C'est le probl�me de la m�thode des script bas�s sur l'analyse des log Apache. Avec la cha�ne iptables, il n'y a pas ce probl�me car la r�gle n'agit que si la cha�ne du virus est trouv�. J'ai regard� avec ipchains mais je n'ai pas trouv� comment faire l'�quivalent de la r�gle iptables. Stef... .......................................................... . Linux - Debian - php4 - Apache - MySQL - Infogerance . . email: [EMAIL PROTECTED] - http://www.actionweb.fr . . Tel: (0)141 906 100 - Fax: (0)141 906 101 . ..........................................................
