besoin d'une petite analyse des connexions sur mon serveur

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : besoin d'une petite analyse des connexions sur mon serveur

clembrizou

Bonjour à tous,
je me suis recemment pris un dédié chez ovh sur lequel j'ai configuré debian.
Tous passe part du https, jái bloqué le port 80 via iptable. les mot de passe sont assez conpliqué (généré par keepassx)

Voilà la notification que j'ai reçu par email, la partie httpd m'intrigue

Citation :

Connection attempts using mod_proxy:
212.42.17.74 -> www.fbi.gov:80: 1 Time(s)

A total of 3 sites probed the server
194.67.159.246
221.217.224.238
67.163.32.85

Requests with error response codes
400 Bad Request
/: 1 Time(s)
/w00tw00t.at.ISC.SANS.DFind: 3 Time(s)
/w00tw00t.at.ISC.SANS.Win32: 3 Time(s)
404 Not Found
/FastHTTPAuthScanner200test/: 1 Time(s)
/admin/: 1 Time(s)
/favicon.ico: 11 Time(s)
/krissfeed/: 1 Time(s)
/krissfeed/?byPage=50: 2 Time(s)
/krissfeed/index.php: 2 Time(s)
/leed/action.php?action=login&newUrl=http% ... 2244c35c8c2fd9e: 1 Time(s)
/leed/action.php?action=synchronize&code=01cf2e710d: 234 Time(s)
/monitoring/: 1 Time(s)
/monitoring/localdomain/localhost.localdomain/index.html: 1 Time(s)
/roundcube/: 1 Time(s)
/shaarli/: 1 Time(s)
/~root/: 1 Time(s)
405 Method Not Allowed
www.fbi.gov:80: 1 Time(s)
408 Request Timeout
null: 3 Time(s)

Si quelqu'un pouvait m'en faire une petite analyse j'apprécierais

Merci d'avance

Message édité par clembrizou le 27-03-2013 à 11:23:23

---------------
Feedback [VDS]casque grado sr225

Publicité

Profil supprimé

Pour tout ce qui concerne "Requests with error response codes" rien de grave, c'est juste un bot qui scan afin de voir y à des exploits potentiels. à la limite tu peu bloquer quelques trucs avec iptables mais c'est plus pour le sport que pour la réel utilité.

Ex pour les W00tW00t :

iptables -A INPUT -p tcp -m string --to 70 --algo bm --string 'w00t' -j DROP

Après tu peu faire quelques autre trucs, genre si tu n'a pas phpmyadmin, tu met ça et ça jarte le bot etc etc...

iptables -A INPUT -p tcp -m string --to 700 --algo bm --string 'phpmyadmin' -j DROP

L’inconvénient de cette méthode c'est que par exemple si tu as un forum et qu'un utilisateur fait une cherche (ou tape un message ?) avec w00t dedans il va surement ce faire drop.

rootshell

Pour que tu soit tranquille ajoute OSSEC ça te préviendra si quelqu'un trouve une brèche. Sinon à tu fail2ban ?

---------------
Roulez vite et facilement avec le vélo électrique http://www.produitsbiologique.fr/25-velos-electriques

clembrizou

Merci à tout les deux, je vais regarder ça
Pas de forum sur le serveur, c'est juste pour avoir krissfeed, zerobin, shaarli, dropcenter, orangeproxy, baikal, un serveur postfix. Enfin un petit serveur pour m'amuser quoi.
Fail2ban est bien installé. Fail2ban est installé sur tout les pc sur lesquels je me connecte en ssh a distance, et authentification seulement par clé rsa. Comme ça je limite la casse...

---------------
Feedback [VDS]casque grado sr225

FORUM HardWare.fr

Réseaux grand public / SoHo

Sécurité

besoin d'une petite analyse des connexions sur mon serveur

Sujets relatifs
Choix DD pour serveur NAS (D-Link 320 - rev. B2) - Help...	[résolu]serveur email sur dédié ovh
sécurisation de mon serveur ovh sous debian	besoin d'aide suite à mise à jour serveur online mutualisé
Accéder serveur FTP à travers Box	Besoin d'avis Numéricable
Acces reseau en wifi sur un serveur NAS avec Box	Installation d'un serveur de messagerie en local
serveur hp proliant et raid
Plus de sujets relatifs à : besoin d'une petite analyse des connexions sur mon serveur

Page générée en 0.040 secondes