Bonjour,
J'ai installé un module pour apache assez intéressant : mod_clamav
Sur un apache-2.0.54 sur une Mandriva 2006.0..
Il est intéressant car il affiche une page d'erreur, si un poste visitant l'un des sites que je gère, tente (volontairement ou non) de compromettre le système par hack de virus...
Cela génère un log dans /var/log/httpd/error_log :
[Mon Nov 20 08:25:13 2006] [error] [client 71.199.188.170] [14992] virus daemon connection problem found in request http://login.dcn.yahoo.com/config/login?.done=http://farechase.yahoo.com&login=Kit_&passwd=orange, referer:
Or j'ai remarqué souvent les mêmes entrées avec les mêmes IP... J'en conclu que certains postes infectés scan l' Internet au hasard et recommence indéfiniment !
D'où ma conclusion si une erreur HTTP ne suffit pas, "interdisons ces adresses IP !!!"
Alors j'ai fait un petit script bash qui analyse le log et drop les IP... Mais le seul truc qui ne me conviens pas c'est qu'une adresse IP peut apparaitre plusieurs fois !
Elle sera donc DROPée autant de fois !
Je vous mets mon script :
[cpp]#! /bin/sh
# clam-ip-drop.sh
# under GPL2
#
#/***************************************************************************
# * *
# * This program is free software; you can redistribute it and/or modify *
# * it under the terms of the GNU General Public License as published by *
# * the Free Software Foundation; either version 2 of the License, or *
# * (at your option) any later version. *
# * *
# ***************************************************************************/
# Réccupération des adresses IP si il y en a dans les 4 dernière ligne (limite le nombre de doublon)
ip=`tail -n 4 /var/log/httpd/error_log | grep "virus daemon" | grep -v "cannot create" | cut -d " " -f8-8 | cut -d "]" -f1-1`;
date=`date`;
# Boucle qui va faire un DROP de chaque IP
for i in $ip ; do
# On indique dans /var/log/messages que l'on drop une IP
echo $date." Drop de l'IP : "$i >> /var/log/messages;
/sbin/iptables -I INPUT -s $i -j DROP;
done
[/cpp]
Tous cela est lancé toutes les 3-4 minutes par un cron !
Des idées !??
Merci
J'ai installé un module pour apache assez intéressant : mod_clamav
Sur un apache-2.0.54 sur une Mandriva 2006.0..
Il est intéressant car il affiche une page d'erreur, si un poste visitant l'un des sites que je gère, tente (volontairement ou non) de compromettre le système par hack de virus...
Cela génère un log dans /var/log/httpd/error_log :
[Mon Nov 20 08:25:13 2006] [error] [client 71.199.188.170] [14992] virus daemon connection problem found in request http://login.dcn.yahoo.com/config/login?.done=http://farechase.yahoo.com&login=Kit_&passwd=orange, referer:
Vous devez être connecté pour voir les liens.
Or j'ai remarqué souvent les mêmes entrées avec les mêmes IP... J'en conclu que certains postes infectés scan l' Internet au hasard et recommence indéfiniment !
D'où ma conclusion si une erreur HTTP ne suffit pas, "interdisons ces adresses IP !!!"
Alors j'ai fait un petit script bash qui analyse le log et drop les IP... Mais le seul truc qui ne me conviens pas c'est qu'une adresse IP peut apparaitre plusieurs fois !
Elle sera donc DROPée autant de fois !
Je vous mets mon script :
[cpp]#! /bin/sh
# clam-ip-drop.sh
# under GPL2
#
#/***************************************************************************
# * *
# * This program is free software; you can redistribute it and/or modify *
# * it under the terms of the GNU General Public License as published by *
# * the Free Software Foundation; either version 2 of the License, or *
# * (at your option) any later version. *
# * *
# ***************************************************************************/
# Réccupération des adresses IP si il y en a dans les 4 dernière ligne (limite le nombre de doublon)
ip=`tail -n 4 /var/log/httpd/error_log | grep "virus daemon" | grep -v "cannot create" | cut -d " " -f8-8 | cut -d "]" -f1-1`;
date=`date`;
# Boucle qui va faire un DROP de chaque IP
for i in $ip ; do
# On indique dans /var/log/messages que l'on drop une IP
echo $date." Drop de l'IP : "$i >> /var/log/messages;
/sbin/iptables -I INPUT -s $i -j DROP;
done
[/cpp]
Tous cela est lancé toutes les 3-4 minutes par un cron !
Des idées !??
Merci