SECURITE : mon serveur attaqué?

Dans les logs de nginx, je vois apparaître ceci :

82.241.67.143 - - [15/Oct/2014:20:24:50 +0200] "GET /DL/PDF/term-2newton.pdf HTTP/1.1" 200 86731 "https://www.google.fr/" "Mozilla/5.0 (Linux; Android 4.0.3; AN10DG3 Build/IML74K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.131 Safari/537.36" 82.241.67.143 - - [15/Oct/2014:20:24:51 +0200] "GET /DL/PDF/term-2newton.pdf HTTP/1.1" 200 86731 "https://www.google.fr/" "Mozilla/5.0 (Linux; Android 4.0.3; AN10DG3 Build/IML74K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.131 Safari/537.36" 82.241.67.143 - - [15/Oct/2014:20:24:53 +0200] "GET /DL/PDF/term-2newton.pdf HTTP/1.1" 200 86731 "https://www.google.fr/" "Mozilla/5.0 (Linux; Android 4.0.3; AN10DG3 Build/IML74K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.131 Safari/537.36" 82.241.67.143 - - [15/Oct/2014:20:24:54 +0200] "GET /DL/PDF/term-2newton.pdf HTTP/1.1" 200 109195 "https://www.google.fr/" "Mozilla/5.0 (Linux; Android 4.0.3; AN10DG3 Build/IML74K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.131 Safari/537.36"
Et ça n’arrête pas, les requêtes sont multiples et répétées à chaque secondes…

Comment vérifier si cette ip est connue comme malsaine?

Bonsoir,

Je ne sais si cela peut être utile, mais sais t-on jamais

http://www.localiser-ip.com/?ip=82.241.67.143

Il faut cliquer sur le petit ballon rouge.

J’ai un serveur mutualisé chez Online (en attendant d’arriver à passer à un dédié) et, pour info, il y a eu des incidents toute la journée sur le filer mail 11.

cordialement

A première vu oui et non.
non: car c’est une simple demande pour téléchargé le fichier pdf
oui: car en faisant la demande en boucle il te flood/ddos, y a t il un danger en cela ? juste un ralentissement, l’ampleur du ralentissement dépend du nombre abusive de la requète qu’il te fera, au maximum ton site sera inaccessible, mais à lui seul je crois pas que tu risques un ralentissement encore moins qu’il rend inaccessible ton site

As-tu ce fichier: term-2newton.pdf dans /DL/PDF/ sur ton site ?
Si non, crée en les répertoires et ajoute un fake fichier pdf du même nom.
Peut-être une fois qu’il aura télécharger le fichier, son script/plugins/autres s’arrêtera en cas de succès téléchargement.
En tous cas fait tu as aussi l’autre tranche:
mode paranoiaque: si le fichier en question est un pdf vulnérable, et que sur ton site il a trouvé ce fichier, t’es sur sa liste cible, mais tu risques pas trop de chose vu que tu l’as pas réellement…

Ok, merci, ça confirme ce que je me disais. C’est vrai que c’est juste une requête http toute bête, et qui réussissait donc ne générait pas d’erreur.

Du coup j’ai renommé le fichier : depuis qu’il ne le trouve plus il a arrêté.

Cela dit je m’interroge : comment se protéger de ce genre d’attaque?

Tu peux faire un script qui détecte le nombre de répétition et faire une action, genre: ban ip (limité ou pas), envoie une réponse http (fr.wikipedia.org/wiki/Liste_des_codes_HTTP je te laisses le choix tu peux utiliser ce que tu veux), envoyer une page html avec un message qui dit qu’il flood le site, ou de préférence tous ensemble mais intelligemment.

Tant que tu y auras fait le script, ajoute aussi: la sauvegarde des données de ceux-ci, ça pourrait être utile.

[quote=“thuban”]Ok, merci, ça confirme ce que je me disais. C’est vrai que c’est juste une requête http toute bête, et qui réussissait donc ne générait pas d’erreur.

Du coup j’ai renommé le fichier : depuis qu’il ne le trouve plus il a arrêté.

Cela dit je m’interroge : comment se protéger de ce genre d’attaque?[/quote]
Fail2ban avec un “jail” qui bloque après 1 ou 2 tentatives, pendant une durée + ou - longue.

[quote=“thuban”]Ok, merci, ça confirme ce que je me disais. C’est vrai que c’est juste une requête http toute bête, et qui réussissait donc ne générait pas d’erreur.

Du coup j’ai renommé le fichier : depuis qu’il ne le trouve plus il a arrêté.

Cela dit je m’interroge : comment se protéger de ce genre d’attaque?[/quote]

Je pense qu’effectivement un fail2ban serait déjà bien suffisant, mais il n’est pas souhaitable de mettre en place ceci sur le HTTP sans réflexion.

Il y a aussi la possibilité d’utiliser un WAF : http://blog.guiguiabloc.fr/index.php/2012/04/17/naxsi-du-waf-pour-votre-nginx/

Mais là sa devient tout de suite plus ‘barbus’, regarde si effectivement il te monopolise toute les connections sinon laisse béton tu risquerait d’impacté des potentiels visiteurs pour finalement pas grand chose en l’état c’est simplement du GET sur un PDF.

Tu peu aussi lui bloqué l’IP temporairement histoire de voir si il revient avec une autre ou pas

Je croyais que fail2ban pouvait permettre de bloquer que en cas d’erreurs. Mais en fait non à priori. Il faut que j’étudie la syntaxe pour limiter le nombre de requêtes venant de la même ip, sur un même document dans un intervalle de temps donné. (pas si simple)

Utilise mod_evasive, c’est fait pour ça. Cela dit ici c’est un android qui vient d’une page google, ça sent le mobile ou la tablette qui foire et qui recharge sans arrêt la même page (c’est une adresse freebox).

Oui, je ne vois pas trop l’intérêt sinon du pirater un pauvre pdf qui est de toute façon en libre accès.

mod_evasive, c’est pour apache, non? Je me sers de nginx

<mode aparté>
Je vais installer nginx sur mon nouveau serveur pour de l’auto hébergement, on ne m’en dit que du bien!</mode aparté>

Une piste pour le mode_evasive à la sauce nginx http://wiki.nginx.org/HttpLimitReqModule