Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1661 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

bloquer une adresse IP

n°755250
devka
Posté le 23-11-2005 à 12:52:36  profilanswer
 

Bonjour,  
je me permets de m'adresser à vous car je ne trouve plus de solution à mon problème.  
 
Je vous explique la situation.  
Depuis quelques jours maintenant mon serveur (Debian) se fait attaquer par un hacker. Il fait saturer mon site web.  
Je dois donc bloquer son ip, pour cela j'ai utiliser plusieurs moyens :  
- j'ai fait un iptables  
- j'ai modifié le fichier /etc/hosts.deny  
- j'ai modifié le fichier httpd.conf (j'ai meme installer mod_throttle pour limiter les connexions par ip à la seconde)  
- j'ai modifié le fichier .htaccess.  
 
Ces solutions marchaient au début des attaques mais après quelques jours le hacker a reussi à passer au travers.  
Je ne comprends pas comment il fait.  
 
Si quelqu'un à la moindre idée pour le bloquer ou si quelqu'un peut m'expliquer comment il fait merci de me le dire.  
La moindre information pourrait m'etre utile alors si vous avez des idées je vous ecoute.  
 
Merci d'avance

mood
Publicité
Posté le 23-11-2005 à 12:52:36  profilanswer
 

n°755254
l0ky
Posté le 23-11-2005 à 12:55:45  profilanswer
 

il a changer d'adresse ?

n°755256
l0ky
Posté le 23-11-2005 à 12:57:05  profilanswer
 

sinon tu peux mettre une regle limitant le nombre de connection sur ton port 80 par seconde (match limit de iptables)
sinon tu peux mettre de la QoS
 
Quel type de saturation ? niveau process ou niveau bande passante.

n°755258
devka
Posté le 23-11-2005 à 12:57:31  profilanswer
 

IL change d'adresse IP toutes les 24h. Je refais mais règles avec la nouvelle mais il n'y a rien à faire il passe quand même.

n°755259
devka
Posté le 23-11-2005 à 12:58:34  profilanswer
 

Niveau bande passante.
 
Merci beaucoup pour vos réponses

n°755261
l0ky
Posté le 23-11-2005 à 13:06:53  profilanswer
 

S'il te flood tu n'a pas grand chose a faire a part prévenir son FAI.
S'il essaye de récupérer des fichiers sur ton serveur et que c'est cela qui provoque la saturation, fait de la QoS [:spamafote]

n°755262
devka
Posté le 23-11-2005 à 13:08:54  profilanswer
 

Non il veut juste bloquer mon site.
C'est quoi la syntaxe exacte de match limit ?

n°755264
l0ky
Posté le 23-11-2005 à 13:12:51  profilanswer
 

man iptables
6ème lien pour la version francaise
http://www.google.fr/search?hl=fr& [...] %3Dlang_fr
 
:heink:

n°755271
devka
Posté le 23-11-2005 à 13:29:43  profilanswer
 

Merci,
je ne comprends pas comment il passe à travers les iptables.

n°755274
l0ky
Posté le 23-11-2005 à 13:31:33  profilanswer
 

Ton firewall toi etre mal configuré.
Décris ton architecture et où est placé ton firewall
et poste le résultat d'un iptables -L -n -v dans un block fixed

mood
Publicité
Posté le 23-11-2005 à 13:31:33  profilanswer
 

n°755284
devka
Posté le 23-11-2005 à 13:57:31  profilanswer
 

Je fais la commande : iptables -A INPUT -s <ip> -j DROP
 
avec iptables -L -n -v j'obtient ceci :
pkts bytes target     prot opt in     out     source        dest                  
    0     0 DROP       all  --  *      *           <ip>        0.0.0.0/0  
 
 
mais ce que je ne comprends pas c'est que les premiers jours cette commande le stoppait mais plus maintenant. Ensuite j'ai mis son ip dans le fichier /ect/hosts.deny, cette technique aussi l'a stoppé un temps mais plus maintenant.

n°755293
zanton
Posté le 23-11-2005 à 14:13:29  profilanswer
 

Si son Ip change tous les jours, c'est logique que tu ne puisses pas le bloquer en jouant sur son adresse ip  de la veille. Mais je n'ai toujours pas compris comment il faisait tomber ton serveur : avec une seule machine à lui, il fait un DoS qui bloque ton serveur ? Est ce que parallèlement, il tente pas de faire des tests pour récupérer un accès sur ta machine (via ftp, ssh, ...) ?

n°755295
devka
Posté le 23-11-2005 à 14:20:07  profilanswer
 

Je change l'ip tous les jours dans les commandes. Je fais un netstat -n je vois ses 150 ou 200 connexions sur le port 80 et j'utilise l'ip du jour.
Mais les commandes qui marchaient au debut ne marchent plus maintenant (avec l'ip actualisée), c'est comme s'il contournait les règles de blocage.
 
Je ne sais pas exactement comment il bloque mon serveur je ne suis pas une experte en reseau. Ce que je comprends c'est qu'il prends l'ensemble des connexions possibles et donc ceux qui arrivent derrière reste bloqués.

n°755308
jlighty
Posté le 23-11-2005 à 15:14:43  profilanswer
 

son IP ne fait que changer c'est ça ? essaye de faire un whois sur son IP et de contacter le service abuse de son FAI (précise l'IP et la date précise).
Sinon applique une règle IPtables avec le paramètre connlimit


Message édité par jlighty le 23-11-2005 à 15:20:21
n°755309
l0ky
Posté le 23-11-2005 à 15:16:08  profilanswer
 

Le seul hic c'est pour les proxies [:ddr555]

n°755314
jlighty
Posté le 23-11-2005 à 15:20:01  profilanswer
 

il y a une option connlimit qui conviendrait dans iptables.
PS: j'ai cru que match limit était pour iptables, j'ai regardé tout le man sans trouver cette option :D

Message cité 1 fois
Message édité par jlighty le 23-11-2005 à 15:21:26
n°755315
devka
Posté le 23-11-2005 à 15:20:17  profilanswer
 

ok merci pour votre aide.
J'ai fait envoyer un mail au service abuse samedi dernier à mon partenaire mais je ne sais pas encore ce qu'ils ont repondu.

n°755317
devka
Posté le 23-11-2005 à 15:20:56  profilanswer
 

oki jlighty je vais regarder ca

n°755320
l0ky
Posté le 23-11-2005 à 15:23:53  profilanswer
 

jlighty a écrit :

il y a une option connlimit qui conviendrait dans iptables.
PS: j'ai cru que match limit était pour iptables, j'ai regardé tout le man sans trouver cette option :D

 

_____________

 

limit
This module matches at a limited rate using a token bucket filter. A rule using this extension will match until this limit is reached (unless the `!' flag is used). It can be used in combination with the LOG target to give limited logging, for example.

 

--limit rate
    Maximum average matching rate: specified as a number, with an optional `/second', `/minute', `/hour', or `/day' suffix; the default is 3/hour.
--limit-burst number
    Maximum initial number of packets to match: this number gets recharged by one every time the limit specified above is not reached, up to this number; the default is 5.


[:roane]


Message édité par o'gure le 29-08-2010 à 15:48:11
n°755321
l0ky
Posté le 23-11-2005 à 15:25:10  profilanswer
 

En fait tu as connrate pour limiter le débit.
et tu as limit pour limiter le nombre de connection.


Message édité par l0ky le 23-11-2005 à 15:25:21
n°755324
jlighty
Posté le 23-11-2005 à 15:30:07  profilanswer
 

bizarre l'utilisation de limit :
http://cert.uni-stuttgart.de/archi [...] 00107.html
cette option s'applique t-elle réellement sur des connexions ?

Message cité 1 fois
Message édité par jlighty le 23-11-2005 à 15:31:05
n°755325
Profil sup​primé
Posté le 23-11-2005 à 15:31:38  answer
 

Faudrait utiliser les 2 non ?

n°755331
jlighty
Posté le 23-11-2005 à 15:35:07  profilanswer
 

d'après http://www.kalamazoolinux.org/pres [...] ter-7.html
limit est utilisé pour limiter le nombre de message logués.
connlimit permet de limiter le nombre de connexion par IP (pas génial si une seule IP est partagée via le NAT) :

Code :
  1. # allow 2 telnet connections per client host
  2. iptables  -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT


Message édité par jlighty le 23-11-2005 à 15:35:52
n°755334
l0ky
Posté le 23-11-2005 à 15:38:12  profilanswer
 

jlighty a écrit :

bizarre l'utilisation de limit :
http://cert.uni-stuttgart.de/archi [...] 00107.html
cette option s'applique t-elle réellement sur des connexions ?


A la base ce match s'applique sur la regle. Si tu l'utilise c'est regle sera appliquée suivant la limite que tu as mis.
Si tu utilise a coté le statefull de netfilter (ie: le conntrack) tu la fait matcher sur les connection dont l'état est NEW (si tcp avec le flag syn).
Et la elle s'applique sur les connections [:spamafote]
 
 

n°755335
l0ky
Posté le 23-11-2005 à 15:39:54  profilanswer
 

Chez moi je l'ai mise en place pour les connections sur mon port 22 et sur ICMP.
l'utiliser pour les regle de log est également une bonne idée, elle évite que les logs ne soient trop remplis.

n°755336
jlighty
Posté le 23-11-2005 à 15:42:14  profilanswer
 

oui, cependant je pense qu'avec "limit", tu limites globalement toutes les IP (nombre de connexions/unité de temps) , alors qu'avec  connlimit on limite par rapport à l'adresse IP (nombre de connexions/ip) à moins que je me trompe :??: .


Message édité par jlighty le 23-11-2005 à 15:42:36
n°755337
Profil sup​primé
Posté le 23-11-2005 à 15:46:00  answer
 

http://archives.neohapsis.com/arch [...] /0878.html
 
iptables -A INPUT -m limit --limit 1/minute -p tcp --syn --destination-port
80 -j ACCEPT
iptables -A INPUT -p tcp --syn --destination-port 80 -j DROP  
 
Moi mon but c'est deviter que le mec lance une boucle infinie sur mon serveur et qu'il me bouffe tt la BP.
 
J'ai installé mod_evasive pour Apache, qui bloque les requetes sur les serveur. Le probleme c'est qu'il renvoie une 503 pour les floodeur mais ca bouffe quand meme la BP. Mais ce module a un parametre que lorsqu'il detecte un floodeur, on peut executer une commande, genre appeler IPTABLES. Ca serait parfait ca mais le probleme c'est que cette commande n'est jamais declenché. Si qqu utilise ce mod...

n°755338
l0ky
Posté le 23-11-2005 à 15:46:01  profilanswer
 

jlighty: non tu as raison :jap:


Message édité par l0ky le 23-11-2005 à 15:46:23
n°755548
devka
Posté le 24-11-2005 à 12:01:40  profilanswer
 

Comment vous faites pour installer les extensions limit et connlimit?

n°755560
l0ky
Posté le 24-11-2005 à 13:00:26  profilanswer
 

regarde dans /lib/modules/VERSION/kernel/net/ipv4/netfilter si tu as les modules
 ipt_limit.ko
 ipt_connlimit.ko
 
Si oui alors ils sont installés.
 
La plupart des kernels des distribs actuelles fournissent ipt_limit.
Pour connlimit, moi je l'ai pas. Dans ce cas tu recompiles ton kernel a partir des sources que te proposes ta distrib et du patch provenant de patch-o-matic

n°755584
devka
Posté le 24-11-2005 à 14:01:29  profilanswer
 

ok merci j'espèrai qu'il y aurait une solution plus simple !!!
 
J'avais vu une solution avec patch-o-matic et ensuite recompliler le noyau. J'avoue que ca me fait un peu peur.
 
Merci pour votre aide

n°755604
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 24-11-2005 à 15:31:39  profilanswer
 

accessoirement tu préviens son FAI via des voies légales, ça le calmera.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°756759
ceyquem
E falso sequitur quodlibet
Posté le 28-11-2005 à 13:55:21  profilanswer
 
n°763424
kiwis9
Posté le 18-12-2005 à 16:58:16  profilanswer
 

Avec ipsec, on peut bloquer à partir de l'adresse mac??????

n°763537
l0ky
Posté le 18-12-2005 à 22:39:57  profilanswer
 

aucun rapport

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
Apache : bloquer l'accès par adresse IP[Squid] Bloquer le téléchargement
[M2006] Pare-feu et adresse passerelle(résolu)[evolution] perte de carnet d'adresse après maj
Probleme sur un serveur, adresse IP blacklistéeAfficher mon adresse IP
command pour affiche adresse macadresse fixe DHCP et logs
Adresse Apple 
Plus de sujets relatifs à : bloquer une adresse IP


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR