Attaques quotidiennes sur mes serveurs

[RomsIW]

Bonjour,

je traque les attaques quotidiennes qui sont faites sur mes serveurs et j'ai maintenant une liste d'IP / d'organisations relativement signifiante de tout cela. Existe-t-il des organisations d'état ou quelque chose où l'on puisse transmettre tout ça pour traquer les origines de ces attaques ?

Merci de vos conseils,

RB

[moktoipas]

A ton hebergeur peut-etre.

[RomsIW]

A ton hebergeur peut-etre.

ovh ? tu n'es pas sérieux "you can not be serious, man ?"

[moktoipas]

Ben si, surtout qu'ils ont des pb de perf a cause de ce genre d'attaque.

[RomsIW]

nan mais en fait j'ai déjà essayé, et pas eu de réponse. puis j'ai téléphoné, et on m'a dit d'envoyer un mail.. tu connais un autre moyen de les contacter ?

[moktoipas]

Tu peux essayer le forum, ca coute rien.

[Leonick]

ainsi que par ton interface d'admin OVH

[mahefarivony]

Pourquoi s'embeter a faire la chasse aux IP alors qu'il y a d'autres solutions plus radicales (firewall, iptables...) pour dégager de son serveur les excités du DOS et autres variantes ? (si c'est bien ce qu'entend l'auteur par attaques sur son serveur)

[MirageDemonAsh]

Bonjour,
Existe-t-il des organisations d'état ou quelque chose où l'on puisse transmettre tout ça pour traquer les origines de ces attaques ?
Merci de vos conseils,
RB

Oui :

Recherche whois de l'ip, il y a souvent une adresse abuse ( activities like spam, portscan and other, etc...) :

http://www.frameip.com/whois/

Multiplié par des milliers d'ip, ça va être long, mais c'est possible. Puis quand ce sera terminé, il y en aura un millier d'autres ^^

Ou adopter des solutions de contre-mesure (fail2ban/iptables/Apache, mod-evasive/etc)

Ou contacter OVH par mail oles@ovh.net

[MirageDemonAsh]

Bonus :

http://www.securiteinfo.com/conseils/po ... inte.shtml

[mahefarivony]

Multiplié par des milliers d'ip, ça va être long, mais c'est possible. Puis quand ce sera terminé, il y en aura un millier d'autres ^^

oui c'est exactement ça : le problème c'est que dans le cas d'attaques DDOS par exemple, ce sont des milliers (millions ?) d'ordinateurs "innocents" qui contribuent malgré eux (zombies) à l'attaque. J'ai eu le cas de tous les PC d'une "organisation" koweitienne qui étaient infectés et ils étaient même pas au courant

c'est vraiment au niveau du firewall qu'il faut les bloquer car une fois qu'ils auront passé la barrière, les processus apache se lanceront quand meme en cas de requete ! Vite tués avec les différents mods (.htaccess, dos_evasive, etc.) mais ils se déclencheront quand meme !

[Julia41]

Fail2ban, règles IPTables, changement de port...
Par exemple, accès SSH, tu passes par le port 23, tu élimines un paqué d'attaque...
Apache, Tu as des mods comme le dit mahefarivony...

En tout cas, j'ignore de quels types d'attaque tu parles, mais tu as pleins de solutions pour te prémunir des attaques... Un peu plus de détails et nous pourrions peut-être plus t'orienter...

[RomsIW]

ce que j'appelle des attaques sont principalement des gens qui testent des trucs genre /phpMyAdmin/main.php et compagnie.. et qui doivent parfois réussir sur d'autres serveurs ?

[Leonick]

y a qu'à les bloquer dans le htaccess

[Julia41]

ce que j'appelle des attaques sont principalement des gens qui testent des trucs genre /phpMyAdmin/main.php et compagnie.. et qui doivent parfois réussir sur d'autres serveurs ?

Ca c'est le filtre apache-no-scripts dans fail2ban, ça marche très bien mais à configurer avec prudence...
Le principe de ce jail, dès qu'il trouve x erreurs 404 fait par un user, cet user est ban pendant x secondes...