Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 28/06/2013, à 15:52

fenix122

se protéger avec le mod_evasive

bonjours j'ai besoin d'aide j'ai un serveur j'ai installé ispconfig sous ubuntu j'ai suivi le tuto mod_security et aussi le mod_evasive j'ai bien les log du mod evasive qui ce fon des attaques mais lorsque je teste avec un logiciel pour une attaque en flood pourtant avec 1200 connexion le serveur sature mais bloque pas l'ip et pourtant j'ai bien le log dans var/log/mod_evasive/ et j'ai regarder tout est bien activé car j'ai des attaque par flood constante j'ai pus voir toute c'est connection par cette ligne de code

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

je vous remercie d'avance de votre aide

Hors ligne

#2 Le 28/06/2013, à 19:11

Pseudo supprimé

Re : se protéger avec le mod_evasive

Salut,
tu l'as aussi dans le /var/log/daemon.log. Cela veut dire que tu peux créer une règle sous fail2ban

/etc/fail2ban/jail.local

...
[evasive]
#daemon.log
#Jun 24 23:27:33 www mod_evasive[21186]: Blacklisting address 12.4.167.70: possible DoS attack.
enabled  = true
filter = evasive
logpath = /var/log/daemon.log
findtime = 20
maxretry = 1
bantime  = 7200
action = iptables-allports[name=evasive]
        mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
...

/etc/fail2ban/filter.d/evasive.conf 

[Definition]
failregex = (.*)mod_evasive(.*)Blacklisting address <HOST>
ignoreregex =

vérification de la règle

sudo fail2ban-regex /var/log/daemon.log /etc/fail2ban/filter.d/evasive.conf

reload start

sudo fail2ban-client reload evasive

#3 Le 29/06/2013, à 11:57

fenix1073

Re : se protéger avec le mod_evasive

...
[evasive]
#daemon.log
#Jun 24 23:27:33 www mod_evasive[21186]: Blacklisting address 12.4.167.70: possible DoS attack.
enabled  = true
filter = evasive
logpath = /var/log/daemon.log
findtime = 20
maxretry = 1
bantime  = 7200
action = iptables-allports[name=evasive]
        mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
...

salut dsl j'ai changé de compte car l'autre j'arrive plus a accéder voila a quoi serve c'est fonction car la le ban arrive mais tard aprés 1600 connection et ne dur pas longtemps peut on l'amélioré merci

Hors ligne

#4 Le 29/06/2013, à 12:11

fenix1073

Re : se protéger avec le mod_evasive

par contre j'ai créé le fichier  /var/log/daemon.log car j'avais pas

mes reglage du mod evasive

<IfModule mod_evasive20.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
     DOSBlockingPeriod   10
           # Execute une action quand une IP est bloquee
    DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"
	
DOSLogDir           "/var/log/mod_evasive"
           # envoie de mail quant une IP est bloquee
           DOSEmailNotify "email@email.com"
           # repertoire des logs
         
           # Whitelist non surveillee
           DOSWhiteList 127.0.0.1
           DOSWhitelist 192.168.0.*
		   DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
DOSWhitelist 66.249.67.*
</IfModule>

Hors ligne

#5 Le 30/06/2013, à 22:49

fenix1073

Re : se protéger avec le mod_evasive

personne pour me guider sad

Hors ligne

#6 Le 08/07/2013, à 11:04

fenix1073

Re : se protéger avec le mod_evasive

quelqu'un pourrais m'aider svp merci

Hors ligne

#7 Le 08/07/2013, à 12:55

Haleth

Re : se protéger avec le mod_evasive

C'est quoi le but de la manip ?

Ban une IP qui fait trop de requete ?

Pourquoi faire ca au niveau 7 (apache) et pas au niveau 3 (iptables) ?

Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#8 Le 08/07/2013, à 13:11

fenix1073

Re : se protéger avec le mod_evasive

justement moi j'aurai préféré directement faire sa avec iptable mais j'arrive pas deja la je me suis mis a recevoir les mail de attaque ddos suspect avant aujourd'hui je ne recevais rien

Hors ligne

#9 Le 09/07/2013, à 04:41

fenix1073

Re : se protéger avec le mod_evasive

quelqu'un peut faire un vrai tuto qui fonctionne car avec fail2ban sa ne bannisser que quelque seconde a vrai dire sert a rien d'etre banni 10 secondes en plus pas d'ip dans iptable j'aimerais en gros si le serveur dectect plus de 200 requette

avec ce genre de code 

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

qu'il bannisse me suffi de mettre en whiteliste les robots que j'accepte qui répertorie mon site

Hors ligne

#10 Le 09/07/2013, à 08:05

Haleth

Re : se protéger avec le mod_evasive

Un tuto ?

man iptables

Fail2ban banni le temps que tu souhaites, en fonction de ta configuration;

Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#11 Le 09/07/2013, à 08:13

fenix1073

Re : se protéger avec le mod_evasive

sa ne fonctionne meme plus avec fail2ban et malgré que j'augmentais le temps de bannissement j'ai suivi ce que la personne plus haut ma conseillé 

man iptables

euh j'en fait quoi sa

Hors ligne

Pages : 1