Salut,
Avec fail2ban tu peux faire des jail custom, pour lire en continu le log du serveur Web, et bloquer si 2 tentatives qui provoquent un 403. Quelques pistes https://stackoverflow.com/questions/24250946/fail2ban-to-block-403-errors-apache Rémy From: David Ponzone <david.ponz...@gmail.com> Sent: Friday, June 28, 2024 9:58 AM To: MJX <max...@jouveaux.fr> Cc: frsag@frsag.org Subject: ***SPAM*** [FRsAG] Re: Bloquer attaque http, ip multiple AWS, je te l’accorde. DO, c’est une des poubelles de la planète donc c’est tentant. Et mon idée de l’autre jour: avoir un LBing par origine géographique, un serveur pour FR/UE (où la majorité de ton audience est probablement), et un pour le reste ? Tu peux aussi mettre en place un mail automatique au service abuse concerné pour chaque requête louche. Ca règle pas le problème, mais si tout le monde faisait ça, peut-être que DO se dirait qu’il y a un problème. Sinon, mon autre idée mais un peu différente: parser les logs (toutes les min si possible) pour regarder les 403/404, et si plusieurs viennent du même préfixe, bloquer le préfixe (pas l’AS entier). Faut voir si les attaques DO viennent du même préfixe. Tu peux aussi regarder si ces IP sont listées chez Crowdsec. Si oui, remplacer fail2ban par crowdsec est une option. David Le 28 juin 2024 à 09:41, MJX <max...@jouveaux.fr<mailto:max...@jouveaux.fr>> a écrit : Bonjour, Je constate également une augmentation d'attaques HTTP avec des IPs différentes depuis quelques mois. J'utilise Fail2Ban avec des serveurs HAProxy et j'avoue avoir quelques difficultés. Les attaques dont j'ai été victime provenaient souvent d'Amazon Web Services ou de DigitalOcean. La dernière en date a envoyé 80 requêtes par minute avec 74 IPs (DigitalOcean) différentes, de ce fait Fail2Ban n'a rien vu. Mais le point commun, c'est qu'elles ont toutes renvoyé des codes 403/404. Personnellement, bloquer l'AS d'Amazon ou de DigitalOcean est risqué car je pourrais bloquer du trafic légitime. Je vais plutôt chercher à bloquer ces 404/403 plus rapidement. Bonne journée. Maxime J. Le 2024-06-26T09:42:28.000+02:00, David Ponzone <david.ponz...@gmail.com<mailto:david.ponz...@gmail.com>> a écrit : Ca a été évoqué ici: https://github.com/fail2ban/fail2ban/issues/1154 Visiblement, ça n’a jamais abouti. Ceci dit, on peut aisément faire un script qui va toutes les X minutes regarder les ban en place, vérifier leur AS avec whois.cymru.com<http://whois.cymru.com/>, et s’il y a trop d’IP dans le même AS et si l’AS n’est pas whitelisté (ou le pays), on ban tous les préfixes de l’AS (en tapant dans un route-reflector qu’on a sous la main, ou dans les bases des RIR). David Le 25 juin 2024 à 20:14, David M via FRsAG <frsag@frsag.org<mailto:frsag@frsag.org>> a écrit : Pour moi fail2ban et autres ne sont pas capables de bloquer une attaques provenant de plusieurs IP / d'un pool d'IP... et d'en déterminer le réseau pour le bloquer dans son ensemble. Le peu de requête par IP fait passer l'attaque sous les radars de fail2ban. Mais peut être que je me trombe ? Si c'est le cas je veux bien un bout de doc, un bout de config... Le 25/06/2024 à 20:08, Franck Routier a écrit : ou https://linuxfr.org/news/reaction-remplacant-de-fail2ban ? (j'ai pas vraiment testé, juste vu la dépêche) Le mardi 25 juin 2024, 19:24:57 CEST Nicolas Parpandet via FRsAG a écrit : > > Hello, > > Oui ca existe, tu peux écrire tes propres règles "fail2ban" 😉 > > A+ > > Nicolas > ________________________________ > From: David M via FRsAG <frsag@frsag.org><mailto:frsag@frsag.org> > Sent: Tuesday, June 25, 2024 18:27 > To: frsag@frsag.org<mailto:frsag@frsag.org> <frsag@frsag.org><mailto:frsag@frsag.org> > Subject: [FRsAG] Bloquer attaque http, ip multiple > > Bonjour à tous, > > J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à contrer parce que ça vient de pool d'IP qui change quasi à chaque requête :/ > * X.Y.202.142 > * X.Y.65.224 > * X.Y.96.202 > * Z.A.202.138 > * Z.A.65.196 > * Z.A.96.206 > > Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic illégitime au vu des requêtes / du nombres... > > Et ça génère de gros ralentissements/fait monter le load bien fort et les requêtes légitimes n'ont plus de place... > > Pour l'instant je monitore et je bloque des subnet entier (exemple X.Y.0.0/24) > > Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ? > > L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable... > Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ? > > Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou des Proxmox avec des LXC qui ce fond attaquer... > > David > > -- > https://retzo.net/ > Tél port : 0663691604 > Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi 9h30-12h > _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/ _____ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
