Rémy, Oui c’est un peu la base de fail2ban, mais ça marche pas si l’IP source change à chaque paquet hein ? Ou alors y a un nouveau module que je connais pas.
David > Le 28 juin 2024 à 10:04, Rémy Duchet (Perso) <[email protected]> a écrit : > > Salut, > > Avec fail2ban tu peux faire des jail custom, pour lire en continu le log du > serveur Web, et bloquer si 2 tentatives qui provoquent un 403. > Quelques pistes > https://stackoverflow.com/questions/24250946/fail2ban-to-block-403-errors-apache > > <https://stackoverflow.com/questions/24250946/fail2ban-to-block-403-errors-apache> > > Rémy > > From: David Ponzone <[email protected]> > Sent: Friday, June 28, 2024 9:58 AM > To: MJX <[email protected]> > Cc: [email protected] > Subject: ***SPAM*** [FRsAG] Re: Bloquer attaque http, ip multiple > > AWS, je te l’accorde. > > DO, c’est une des poubelles de la planète donc c’est tentant. > > Et mon idée de l’autre jour: avoir un LBing par origine géographique, un > serveur pour FR/UE (où la majorité de ton audience est probablement), et un > pour le reste ? > > Tu peux aussi mettre en place un mail automatique au service abuse concerné > pour chaque requête louche. > Ca règle pas le problème, mais si tout le monde faisait ça, peut-être que DO > se dirait qu’il y a un problème. > > Sinon, mon autre idée mais un peu différente: parser les logs (toutes les min > si possible) pour regarder les 403/404, et si plusieurs viennent du même > préfixe, bloquer le préfixe (pas l’AS entier). > Faut voir si les attaques DO viennent du même préfixe. > > Tu peux aussi regarder si ces IP sont listées chez Crowdsec. > Si oui, remplacer fail2ban par crowdsec est une option. > > David > > > > Le 28 juin 2024 à 09:41, MJX <[email protected] <mailto:[email protected]>> > a écrit : > > Bonjour, > > Je constate également une augmentation d'attaques HTTP avec des IPs > différentes depuis quelques mois. J'utilise Fail2Ban avec des serveurs > HAProxy et j'avoue avoir quelques difficultés. > > Les attaques dont j'ai été victime provenaient souvent d'Amazon Web Services > ou de DigitalOcean. > La dernière en date a envoyé 80 requêtes par minute avec 74 IPs > (DigitalOcean) différentes, de ce fait Fail2Ban n'a rien vu. > Mais le point commun, c'est qu'elles ont toutes renvoyé des codes 403/404. > > Personnellement, bloquer l'AS d'Amazon ou de DigitalOcean est risqué car je > pourrais bloquer du trafic légitime. Je vais plutôt chercher à bloquer ces > 404/403 plus rapidement. > > Bonne journée. > > Maxime J. > > Le 2024-06-26T09:42:28.000+02:00, David Ponzone <[email protected] > <mailto:[email protected]>> a écrit : > Ca a été évoqué ici: > > https://github.com/fail2ban/fail2ban/issues/1154 > <https://github.com/fail2ban/fail2ban/issues/1154> > > Visiblement, ça n’a jamais abouti. > > Ceci dit, on peut aisément faire un script qui va toutes les X minutes > regarder les ban en place, vérifier leur AS avecwhois.cymru.com > <http://whois.cymru.com/>, et s’il y a trop d’IP dans le même AS et si l’AS > n’est pas whitelisté (ou le pays), on ban tous les préfixes de l’AS (en > tapant dans un route-reflector qu’on a sous la main, ou dans les bases des > RIR). > > David > > Le 25 juin 2024 à 20:14, David M via FRsAG <[email protected] > <mailto:[email protected]>> a écrit : > > Pour moi fail2ban et autres ne sont pas capables de bloquer une attaques > provenant de plusieurs IP / d'un pool d'IP... et d'en déterminer le réseau > pour le bloquer dans son ensemble. Le peu de requête par IP fait passer > l'attaque sous les radars de fail2ban. > Mais peut être que je me trombe ? Si c'est le cas je veux bien un bout de > doc, un bout de config... > Le 25/06/2024 à 20:08, Franck Routier a écrit : > ou https://linuxfr.org/news/reaction-remplacant-de-fail2ban > <https://linuxfr.org/news/reaction-remplacant-de-fail2ban> ? (j'ai pas > vraiment testé, juste vu la dépêche) > > Le mardi 25 juin 2024, 19:24:57 CEST Nicolas Parpandet via FRsAG a écrit : > > > > Hello, > > > > Oui ca existe, tu peux écrire tes propres règles "fail2ban" 😉 > > > > A+ > > > > Nicolas > > ________________________________ > > From: David M via FRsAG <[email protected]> <mailto:[email protected]> > > Sent: Tuesday, June 25, 2024 18:27 > > To: [email protected] <mailto:[email protected]> <[email protected]> > > <mailto:[email protected]> > > Subject: [FRsAG] Bloquer attaque http, ip multiple > > > > Bonjour à tous, > > > > J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu > > et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à > > contrer parce que ça vient de pool d'IP qui change quasi à chaque requête > > :/ > > * X.Y.202.142 > > * X.Y.65.224 > > * X.Y.96.202 > > * Z.A.202.138 > > * Z.A.65.196 > > * Z.A.96.206 > > > > Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic > > illégitime au vu des requêtes / du nombres... > > > > Et ça génère de gros ralentissements/fait monter le load bien fort et les > > requêtes légitimes n'ont plus de place... > > > > Pour l'instant je monitore et je bloque des subnet entier (exemple > > X.Y.0.0/24) > > > > Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à > > la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ? > > > > L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus > > d'être extrêmement peu fiable... > > Une idée serait de faire un programme qui fait ce que je fais. À savoir > > consulter le server-status et émettre des hypothèses de trafic illégitime + > > bloquer celui-ci. Mais ça existe peut-être déjà ? > > > > Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou > > des Proxmox avec des LXC qui ce fond attaquer... > > > > David > > > > -- > > https://retzo.net/ <https://retzo.net/> > > Tél port : 0663691604 > > Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi > > 9h30-12h > > > > > _______________________________________________ > Liste de diffusion du %(real_name)s > http://www.frsag.org/ <http://www.frsag.org/> > _______________________________________________ Liste de diffusion du > %(real_name)s http://www.frsag.org/ <http://www.frsag.org/>
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
