Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2984 connectés 

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Sécurisation apache2

n°1382513
kmitz
Ca se dit kamitz, bordel !!!
Posté le 21-10-2015 à 22:37:00  profilanswer
 

[Je poste peut être dans la mauvaise catégorie, merci de me le signaler dans ce cas!]
 
Bonjour,
   
  Je me sers de mon raspberry pi comme serveur. J'ai transféré le port 80 de ma box vers le raspberry.
  Dans le log du serveur apache (acces.log) je vois des connexions étranges en provenance d'ip inconnues:
 

Code :
  1. 137.226.113.7 - - [21/Oct/2015:10:51:31 +0000] "GET / HTTP/1.1" 403 519 "-" "Scanning for research (researchscan.comsys.rwth-aachen.de)"
  2. 137.226.113.7 - - [21/Oct/2015:10:51:31 +0000] "GET / HTTP/1.1" 403 518 "-" "Scanning for research (researchscan.comsys.rwth-aachen.de)"
  3. 104.148.44.191 - - [21/Oct/2015:16:50:30 +0000] "GET http://www.sogou.com/index.html HTTP/1.1" 403 494 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)"
  4. 104.148.44.191 - - [21/Oct/2015:16:50:31 +0000] "GET http://www.hotbot.com/ HTTP/1.1" 403 485 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)"
  5. 104.148.44.191 - - [21/Oct/2015:16:50:31 +0000] "GET http://www.hotbot.com/ HTTP/1.1" 403 485 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)"
  6. 104.148.44.191 - - [21/Oct/2015:16:50:32 +0000] "GET http://search.yahoo.com/ HTTP/1.1" 403 487 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)"
  7. 104.148.44.191 - - [21/Oct/2015:16:50:32 +0000] "CONNECT www.paypal.com:443 HTTP/1.1" 403 467 "-" "-"
  8. 104.148.44.191 - - [21/Oct/2015:16:50:33 +0000] "CONNECT www.alipay.com:443 HTTP/1.1" 403 467 "-" "-"
  9. 104.148.44.191 - - [21/Oct/2015:16:50:33 +0000] "CONNECT www.microsoftstore.com.cn:443 HTTP/1.1" 403 478 "-" "-"
  10. 104.148.44.191 - - [21/Oct/2015:16:50:33 +0000] "CONNECT developer.apple.com:443 HTTP/1.1" 403 472 "-" "-"
  11. 104.148.44.191 - - [21/Oct/2015:16:50:38 +0000] "GET http://search.yahoo.com/ HTTP/1.1" 403 487 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)"
  12. 104.148.44.191 - - [21/Oct/2015:16:50:39 +0000] "CONNECT www.alipay.com:443 HTTP/1.1" 403 467 "-" "-"
  13. 104.148.44.191 - - [21/Oct/2015:16:51:47 +0000] "GET http://www.hotbot.com/ HTTP/1.1" 403 485 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)"
  14. 104.148.44.191 - - [21/Oct/2015:16:51:47 +0000] "CONNECT www.paypal.com:443 HTTP/1.1" 403 467 "-" "-"


 
  Je ne comprends pas pourquoi ces connexions apparaissent dans le log alors que j'ai configuré apache pour filtrer les ip:
  (je ne pige pas non plus l'utilité de ces requêtes, qqun essaie d'utiliser mon raspberry comme proxy pour se connecter à d'autres sites?)
 

Code :
  1. DocumentRoot /var/www
  2.         <Directory />
  3.                 Order Deny,Allow
  4.                 Deny from all
  5.                 Options -Indexes -FollowSymLinks
  6.                 AllowOverride None
  7.         </Directory>
  8.         <Directory /var/www/>
  9.                 AllowOverride None
  10.                 Order Deny,Allow
  11.                 Deny from all
  12.                 Allow from 192.168.
  13.         </Directory>


 
 
Quelqu'un peut-il m'éclairer? Merci!

mood
Publicité
Posté le 21-10-2015 à 22:37:00  profilanswer
 

n°1382515
lolight
Posté le 21-10-2015 à 22:52:54  profilanswer
 

Hello, as-tu essayé de te connecter sur ton appache avec une IP que tu as interdite ?  
As-tu un FW configuré sur ton RPI ? (iptables)
Si non tu peux aussi faire du filtrage avec celui-ci.
D'ailleur a ta place je le ferais dans un premier temps avec iptables et j'affinerais avec apache.


---------------
--- Mon topik d'Ach/Ven ---
n°1382537
kmitz
Ca se dit kamitz, bordel !!!
Posté le 22-10-2015 à 11:10:55  profilanswer
 

Salut, merci pour ta réponse.
 
Oui j'ai testé depuis des ip interdites, les connexions sont bien bloquées.
Ce que je ne sais pas c'est si ce que je vois dans le log apache correspond à des requêtes reçues, bloquées et historisées, ou bien si les requêtes passent le filtrage en exploitant une faille.
 
Je ne redirige que le port 80 vers le raspberry, tout le reste est sensé être bloqué au niveau de ma box.
 
Je vais regarder iptables.

n°1382538
Misssardon​ik
prévisible a posteriori
Posté le 22-10-2015 à 11:35:33  profilanswer
 

tu vois dans ton log que toutes les requêtes se prennent une erreur 403 ("forbidden" ) donc ça a l'air de marcher comme prévu.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
n°1382582
kmitz
Ca se dit kamitz, bordel !!!
Posté le 23-10-2015 à 09:28:50  profilanswer
 

Ah effectivement, j'avais pas repéré le code 403 dans le log! Merci
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
Apache2/debian ne veut pas exécuter les .cgi (mais download)[resolu] configuration reperoire utilisateur apache2
[RESOLU] Apache2 -> 2 nom de domaines[ Apache2 ] configuration d'un alias directory pour un sous domaine
DEBIAN echec installation Paquet apache2 php5...Probleme Bind Apache2 pour plusieurs sites local
apache2 sous ubuntuProblème multi hosting sous apache2
question sécurisation sur serveur dédiéApache2 - Configuration durée de vie pour proxy
Plus de sujets relatifs à : Sécurisation apache2

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.088 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR