Le 7 juin 14 à 14:31, [email protected] a écrit :
On Saturday 07 June 2014 14:18:23 Philippe Gras wrote:
C'était du brute force et non du ddos, donc son script n'avait de
conséquences que dans l'administration : 15.000 requêtes par jour
et par action, sur la même page, et tout le backend ramait
comme pas possible !
Ça vous intéresse de savoir comment j'ai fait ?
Ph. Gras
Oui,
car mon site reçoit des requêtes permanentes
sur des pages obsolètes et/ou sur des chemins qui
n'existent pas... etc :
400 Bad Request
403 Forbidden
404 Not Found
Pour ce qui est des 400, de certaines 404 et 403, je pense que tu
peux t'inspirer de ça:
http://spamcleaner.org/fr/misc/w00tw00t.html
Je vais d'ailleurs le faire moi-même, parce que j'ai plein de
requêtes avec cette chaîne :
FCKeditor qui doit correspondre à un espace d'administration d'un CMS
quelconque et
ça correspondrait à de l'exploit.
302 tentative d'attaques
Par contre, pour celles qui correspondent à ton, ou tes domaines et
les redirections 302
tu ferais mieux de les laisser accessibles, pour ne pas cramer ton
référencement naturel.
Mais ce que j'ai réussi à faire n'a rien à voir puisqu'il s'agissait
de bannir le pirate en train
d'attaquer. Ça l'a stoppé net une première fois, il a changé de
serveur et d'IP, mais j'ai pu
le remarquer, et recommencer. Il a abandonné cette nuit-là. Ça dure
depuis lundi.
=====================================================================
# iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
# iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --
dport 80 -s 72.44.248.136 -j DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --
dport 80 -s 66.23.229.10 -j DROP
=====================================================================
Dans mes logs, ça donne ça :
=====================================================================
72.44.248.136 - - [06/Jun/2014:00:55:58 +0200] "POST /wp-login.php
HTTP/1.0" 403 168 "-" "-"
72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php
HTTP/1.0" 403 168 "-" "-"
72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php
HTTP/1.0" 403 168 "-" "-"
72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php
HTTP/1.0" 403 168 "-" "-"
66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php
HTTP/1.0" 403 168 "-" "-"
66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php
HTTP/1.0" 403 168 "-" "-"
66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php
HTTP/1.0" 403 168 "-" "-"
66.23.229.10 - - [06/Jun/2014:00:56:06 +0200] "POST /wp-login.php
HTTP/1.0" 403 168 "-" "-"
=====================================================================
L'astuce, c'est après avoir rejeté l'IP en INPUT, on la rejette en
RELATED,ESTABLISHED
également (parce que le bot est connecté). Ça le déconnecte, et il ne
peut plus revenir se
connecter une nouvelle fois. Enjoy !
André
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers [email protected]
En cas de soucis, contactez EN ANGLAIS [email protected]
Archive: https://lists.debian.org/
[email protected]
