Salut,
Je vois plusieurs différences:
contre
Contre:
Un ajout direct dans /etc/apache2/apache2.conf (je n’ai pas précisé dans le tuto, ça ne devrait pas avoir de conséquence… Sauf .config à la place de.conf)
A vérifier.
là j’ai changer de façon de faire pour voir mais rien je suis pas bloquer 
j’ai remis comme le wiki idem.
Re,
Tu ne veux pas mettre les bans dans /var/lock/mod_evasive plutôt que dans le répertoire de logs, comme c’est prévu par le module; Pour voir…
je l’ai mis
et la conf est dans apache2.conf
Marche pas… 
heu kernel perso = pb ?
conf perso d’apache = pb ?
édit :
je viens de l’installer sur une vm et bien sur ça fonctionne du 1 er coup
[quote=“pitcat”]heu kernel perso = pb ?
conf perso d’apache = pb ?[/quote]
Apache possible… Kernel, je crois pas.
le mod regarde dans quel log ?
Je ne suis pas trop sur, je dirais access.log
Re,
Non… Il crée sa propre table
[quote]Detection is performed by creating an internal dynamic hash table of IP Addresses and URIs, and denying any single IP address from any of the following:
Requesting the same page more than a few times per second
Making more than 50 concurrent requests on the same child per second
Making any requests while temporarily blacklisted (on a blocking list)
[/quote]
désolé du flood
mais çà y est ça fonctionne ^^
j’ai fait a2ensite default et hop le vlà qui fonctionne 
j’ai fait a2dissite default et hop le vlà qui fonctionne plus
Salut,
C’est donc qu’il faut que default soit activé.
Ça pose un problème ?
ben justement je me pose la question.
j’aime pas trop avoir le “défault” actif.
Peut tu faire un test de ton côté voir?
Car je suppose plus un rapport avec error.log que le “default” en lui-même.
en effet tout mes noms de domaine sont dans un vhost avec un error.log perso, sous la forme error_nom.log.
Par contre je pense que si l’attaque se fait sur un nom de domaine ça ira dans error_nom.log et sur l’ip dans error.log
Salut,
# a2dissite default
Site default disabled.
To activate the new configuration, you need to run:
service apache2 reload
root@nas:~# service apache2 restart
Restarting web server: apache2[Wed May 30 11:44:13 2012] [warn] NameVirtualHost *:80 has no VirtualHosts
... waiting [Wed May 30 11:44:14 2012] [warn] NameVirtualHost *:80 has no VirtualHosts
.
root@nas:~# perl /usr/share/doc/libapache2-mod-evasive/examples/test.pl
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
HTTP/1.1 403 Forbidden
Donc: Si default est désactivé il devrait renvoyer 404… ET finir par 403 Forbidden…
Ce n’est donc pas la désactivation de “default” qui est responsable du dysfonctionnement de mod-evasive.
Comme je te le disais plus haut, mod-evasive ne va pas lire dans un fichier log contrairement à ce que tu continue à croire:
[quote=“lol”]Il crée sa propre table
[quote]Detection is performed by creating an internal dynamic hash table of IP Addresses and URIs, and denying any single IP address from any of the following:
Requesting the same page more than a few times per second
Making more than 50 concurrent requests on the same child per second
Making any requests while temporarily blacklisted (on a blocking list)
[/quote][/quote]Il s’appuie directement sur apache, dont il fait partie.
En réponse à ton MP: Oui, j’ai refait un essai ce matin.
Il faut que tu re-visite ta configuration de apache, c’est là que le bât blesse…
Re,
J’ai donc modifié test.pl en remplaçant 121.**** par un de mes noms de domaine.
Suite à divers test je conclue donc que :
Avec default" dans les “sites-enabled”
dans access.log :
192.168.1.** - - [30/May/2012:11:43:31 +0200] "GET /?11 HTTP/1.0" 200 286 "-" "-"
192.168.1.** - - [30/May/2012:11:43:31 +0200] "GET /?12 HTTP/1.0" 403 389 "-" "-"
dans error.log :
[Wed May 30 11:43:31 2012] [error] [client 192.168.1.**] client denied by server configuration: /var/www/
mod-evasive bloque bien l’ip 192.168.1.**
Fail2ban bloque aussi l’ip mais avec le nom de la machine pas une ip ???
Sans “default” d’activé je n’ai aucune trace du test dans access.log et dans error.log et là le modules ne fonctionne pas, aucun blocage idem fail2ban.
Si je teste toto.fr et que le premier vhost est pour le domaine aa.fr les traces sont dans access.aa.log
Si je teste un_autre_ndd.com les traces sont dans access.aa.log aussi
En fait en cas d’absence du “default” et sur n’importe quel domaine " brut", toto.tld par exemple, testé la trace se fait dans access.*.log du premier vhost présent dans "“sites-enabled”
Donc mod-evasive ne lit que access.log
Si je fait un lien symbolique de access.toto.log vers access.log sans activer le “default” idem ça part dans access.aa.log donc mod-evasive ne bloque pas.
Si je fait un lien symbolique de access.aa.log vers access.log et error_aa.log vers error.log sans activer le “default” mod-evasive ne bloque pas.
Donc je sais pour quelle raison mod-evasive a besoin d’avoir “default” activé.
lol, tu pourrais confirmer cela ?
[quote=“pitcat”]Donc je sais pour quelle raison mod-evasive a besoin d’avoir “default” activé.
lol, tu pourrais confirmer cela ?[/quote]
Avec ta configuration, oui; Pas chez moi.
Même avec “default” désactivé, après une série de 404, j’ai bien le 403 tant attendu.
Donc faut que je cherche pourquoi sans le défaut j’ai pas de 404.
Pas gagner ça aussi.
je met en résolue
[quote=“pitcat”]Donc faut que je cherche pourquoi sans le défaut j’ai pas de 404.
Pas gagner ça aussi.
je met en résolue[/quote]
Oui, c’est sûrement pour ça que ça coince. C’est logique, sans “default” on ne devrait pas tomber sur la racine du site = 404
Tu dois avoir des redirections ou des trucs dans ce genre.
Si j’ai bien compris, la racine de ton site est un sous-domaine et non un domaine; Tu as du faire des modifs dans la conf qui empêche mod-evasive de s’y retrouver.
Bon j’ai refait tout mes vhost en partant de default et défault-ssl.
Donc maintenant avec default j’ai bien 403 mais si je le vire j’ai 301 maintenant .
progression mais pas dans le bon sens.
Salut,
[quote=“pitcat”]Bon j’ai refait tout mes vhost en partant de default et défault-ssl.
Donc maintenant avec default j’ai bien 403 mais si je le vire j’ai 301 maintenant .
progression mais pas dans le bon sens.[/quote]
Ne le vire pas.
Laisse un index.html vide dans la racine et c’est bon. non ?