Apache2 réduire les erreurs 404 et tentatives d'attaques

Bonjour,

Heureux possesseur d’un petit dédié chez Online depuis un petit moment, j’ai installé Logwatch afin de surveiller l’activité au jour le jour.
Depuis le début de la mise en marche de mon serveur Apache2, je constate tous les jours des log de ce style :[quote]
100% responses (1xx 0, 2xx 80%, 3xx 5%, 4xx 15%, 5xx 0)

Attempts to use known hacks by 3 hosts were logged 7 time(s) from:
130.xx.xx.190: 5 Time(s)
^null$ 5 Time(s)
115.xx.xx.140: 1 Time(s)
^null$ 1 Time(s)
74.xx.xx.67: 1 Time(s)
^null$ 1 Time(s)

A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):

null HTTP Response 200

Requests with error response codes
400 Bad Request
/w00tw00t.at.ISC.SANS.Win32:): 2 Time(s)
blazeman.co.uk\xc2:\xc2/images/ … /bannergas1.jpg: 1 Time(s)[/quote]
Je vois directement sur mon site que je reçois plus de spam lorsque j’ai plus d’erreurs 404 (surement des bots).
Que faire ? Est-ce que l’on peut y faire quelque chose ? A coup d’iptable ou autre ? Est-ce dangereux ?

Merci de votre aide.

Tu peux, par exemple, exclure totalement des ranges d’IP (par exemple un ou plusieurs pays entiers) via le module libapache2-mod-geoip.

Je ne l’utilise pas donc je ne sais pas ce que ça vaut, mais si tu n’as pas beaucoup de sites différents qui tournent sur ton Apache, tu peux utiliser un truc style Project Honeypot ( sebsauvage.net/wiki/doku.php?id=project_honeypot )

Je pense pas que ces alertes soient dangereuses, et j’ignore si le honeypot les ferait disparaître de tes logs.

Il y a des outils pour bannir les adresses qui font des requêtes un peu trop louches. Notamment :
[ul]
[li] le module apache mod_evasive ;[/li]
[li] fail2ban, qui fonctionne en surveillant les logs Apache (et autres).[/li][/ul]

Je connais un peu tout ces outils ce que je me demande c’est est-ce que je passe à la vitesse supérieur ?
En clair le risque est-il suffisamment important pour me faire du temps à ajouter une couche de sécurité ?
Quelles sont vos expériences sur le sujet.

Merci de vos précédentes réponses.

  • ça dépends de la sensibilité que tu accordes à ce que tu héberges
  • ça dépends de ta bande passante, de si t’as envie d’avoir des stats propres et de filtrer le spam par un autre biais, et de la raison pour laquelle t’as installé logwatch (qui a indirectement eu pour effet de «t’inquiéter» de qqch qui aurait été passé sous silence autrement)

[quote=“Zbf”]- ça dépends de la sensibilité que tu accordes à ce que tu héberges

  • ça dépends de ta bande passante, de si t’as envie d’avoir des stats propres et de filtrer le spam par un autre biais, et de la raison pour laquelle t’as installé logwatch (qui a indirectement eu pour effet de «t’inquiéter» de qqch qui aurait été passé sous silence autrement)[/quote]
    Excellente réponse !
    Si on installe un truc comme logwatch, c’est qu’on est anxieux de savoir si on est attaqué.
    Donc, si la réponse est positive, c’est que ça demande à être corrigé.
    D’où l’installation de trucs parallèles comme, par exemple, Fail2ban.

il y a aussi mod-security pour apache2 qui est pas mal, un peu comme un firewall pour site web, il permet aussi de blacklister des IP si attaque…

Je te conseillerai d’installer fail2ban pour éviter ca.
Il existe un filtre apache2 pour fail2ban “anti w00t w00t” (tu peux facilement trouvé cela sur google, pas sur qu’il y est les instructions pour mettre en place cette règle sur le wiki).
En gros c’est des “scans” qui sont utilisés sur ton serveur web.

Ok, merci pour vos réponses qui donnent un panel assez complet des outils disponibles.
Je ne suis pas plus parano que ça et je n’héberge pas de données si critiques donc j’attendrai encore un peu.

Bonjour,

Regarde au niveau de fail2ban, il permet de scanner tes logs et de gérer ton iptables de manière dynamique (en bloquant des IP/ranges d’ips) à la détection de certains messages de logs récurrents sur ton serveur. Il est très paramétrable et te permettra donc d’indiquer quelle action effectuer en fonction de quel message dans les logs et de sa récurrence.

Neaj