Bloquer ou pas bloquer des requêtes en provenance de certains serveurs

[polweb]

Bonjour,

j'ai des requêtes clairement bizarre de ces serveurs :

69.175.88.10 cl102.justhost.com
184.107.220.186 host.msw-hosting.com
212.227.18.71 infong-es60.schlund.de

C'est clairement du hack. Je pense faire un blocage par le htaccess. Qu'en pensez vous ? Avez vous eu le même problème ?

Merci.

 

[techron]

Re: Bloquer ou pas bloquer

...C'est clairement du hack. Je pense faire un blocage par le htaccess. Qu'en pensez vous ?

Le blocage doit être en temps réel sinon il est souvent trop tard si vous bloquez en différé, vous êtes soit déjà hacké ou êtes sur le point de l'être (au second essai). En même si vous bloquez une Ip en différé, l'attaquant peut passer par une autre IP (ADSL, proxy) pour refaire une tentative.

Avez vous eu le même problème ?

Oui, à tous les jours (surtout de la Chine et de la Russie)

Tout dépend de la nature de la requête, de l'origine de l'IP (le pays) et de la fréquence (répétitivité) de la requête.
Si la requête est un simple scan de port, c'est un blocage temporaire.
Si la requête contrevient aux règles de sécurité, c'est un blocage permanent de l'IP.
Si la requête contrevient aux règles de sécurité et que l'IP change, c'est un blocage permanent des Ips et un blocage temporaire de la plage d'IP permanent de ce pays.

Tout ca est fait automatiquement en temps réel.

Les dernières heures seulement:

Oct 16 01:52:26 server lfd[24572]: (mod_security) mod_security triggered by 222.174.209.206 (CN/China/-): 5 in the last 300 secs - *Blocked in csf* [LF_MODSEC]
Oct 16 03:00:12 server lfd[21601]: *System Integrity* has detected modified file(s): /usr/local/bin/lwp-request
Oct 16 07:46:16 server lfd[30638]: (mod_security) mod_security triggered by 24.222.129.20 (CA/Canada/blk-222-129-20.eastlink.ca): 5 in the last 300 secs - *Blocked in csf* [LF_MODSEC]
Oct 16 10:34:37 server lfd[30393]: *WHM/cPanel root access* from xxx.xxx.xxx.xxx
Oct 16 13:00:34 server lfd[26483]: CCL: Retrieving GeoLite Country database [http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz]
Oct 16 13:00:40 server lfd[26483]: CCL: Retrieved GeoLite IP database
Oct 16 13:00:44 server lfd[7982]: CCL: Using new GeoLite Country database
Oct 16 17:13:51 server lfd[30652]: *Port Scan* detected from 190.144.12.134 (CO/Colombia/-). 6 hits in the last 160 seconds - *Blocked in csf* for 3600 secs [PS_LIMIT]
Oct 16 18:13:55 server lfd[7899]: Incoming IP 190.144.12.134 temporary block removed
Oct 16 18:32:56 server lfd[14054]: *Port Scan* detected from 124.40.245.253 (IN/India/-). 6 hits in the last 95 seconds - *Blocked in csf* for 3600 secs [PS_LIMIT]
Oct 16 19:32:56 server lfd[15382]: Incoming IP 124.40.245.253 temporary block removed
Oct 16 21:12:07 server lfd[30214]: (mod_security) mod_security triggered by 188.143.232.36 (RU/Russian Federation/-): 5 in the last 300 secs - *Blocked in csf* [LF_MODSEC]
Oct 16 22:43:15 server lfd[32376]: *WHM/cPanel root access* from xx.xxx.xxx.xxx

 

[polweb]

Merci de ton aide.

Le blocage doit être en temps réel sinon il est souvent trop tard si vous bloquez en différé,

Pas tout à fait mon codage est quand même solide :mrgreen: Je vois les tentatives de hack et je sais qu'elle ne peuvent percer. Mais par prudence je préfère virer le malpropre des fois qu'il trouve une faille

Avec quoi fait tu un blocage en temps réel ?

Merci.

 

[techron]

Avec quoi fait tu un blocage en temps réel ?

Le blocage est automatiquement fait par une combinaison de 3 scripts qui travaillent ensemble la main dans la main:

1) ConfigServer Security & Firewall (gratuit): http://configserver.com/cp/csf.html
+
2) Mod_Security
+
3) et certains outils de sécurité intégrés par défaut dans l'interface d'administration WHM de cPanel, particulièrement la fonctionnalité 'Host Control Access' qui bloque l'accès aux services sshd, smtp, webmaild, pop3, FTP, cpaneld, whostmgrd... du serveur excepté les Ips que j'inscrit (l'IP de mon accès internet par exemple). Tous les autres Ips (étrangers, pays, etc) n'ont pas accès aux services et après 5 tentatives, ces Ips sont bloquées automatiquement de manière permanente. Les scans de ports sont bloqués de manière temporaire.

Tous les blocages (temporaires ou permanents) sont envoyés en temps réel à mon adresse email permanente:

 

[polweb]

Ok,

merci beaucoup pour ta réponse.

A plus.