Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 14/11/2014, à 17:57

araqiel

Problème : Flux important other_vhosts_access.log - Aide avec Fail2Ban

Bonjour,

Depuis quelques semaines j'ai mon other_vhosts_access.log qui grossis de jours en jours.
Lorsque je fais un "tail -f other_vhosts_access.log", les logs défilent, ce qui fait que je suis à plus de 8Go de logs par jour.

J'ai mis en place fail2ban sur le vhost, mais rien n'y fait.
Je me suis inspiré de ce post : http://forum.ubuntu-fr.org/viewtopic.php?id=800421

Pour le coup ma config sur vhost_access.log ressemble à ça :

[Definition]

failregex = 5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*muieblackcat
        5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*w00t
        5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*mysql
        5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*dbadmin
        5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*myadmin
        5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*MyAdmin
        5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*admin
        5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*php
        5\.135\.XXX\.XXX\:80 <HOST> -.*"GET .*jmx-console
        .*:80.* ^<HOST> -.*"GET http.*".*

ignoreregex =

XXX = Ip cachée

La dernière ligne j'ai testé sur ce site, normalement, fail2ban devrait passer.

Sauf que rien n'y fait, j'ai toujours autant flux. Et fail2ban n'arrête pas ces connexions intempestives.

Un exemple de connexions que je voudrais stopper : 

localhost:80 104.202.31.88 - - [14/Nov/2014:16:54:40 +0100] "GET http://ib.adnxs.com/tt?id=3357657 HTTP/1.0" 302 829 "http://www.aiinfos.com/?p=933" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ko; rv:1.9.2.4) Gecko/20100523 Firefox/3.6.4"
localhost:80 192.169.85.214 - - [14/Nov/2014:16:54:40 +0100] "GET http://g.moduskill.com/int/e_728int/ HTTP/1.0" 200 332 "http://www.moduskill.com/fashion-tips/everything-a-girl-needs-to-know-about-bra-types.html" "Mozilla/4.0 (compatible; MSIE 6.0; Update a; AOL 6.0; Windows 98)"
localhost:80 23.244.1.88 - - [14/Nov/2014:16:54:40 +0100] "GET http://ams1.ib.adnxs.com/if?e=wqT_3QL6A_BC8QEAAAIA1gAFCJvLmKMFEPWZ456A2-uAPxjKjdnAvO_5xCAgASotCXsUrkfhepQ_EXsUrkfhepQ_GZ7vp8ZLN-0_IRESACkRCbAw8LXsATiBEkCBEkgCULntggpYnuogYABos78CcAB4pe4CgAEBigEDVVNEkgEBBvBvmAGgAaAB2ASoAQCwAQC4AQLAAQTIAQDQAQDYAQDgAQDwAQCKAld1ZignYScsIDQwNTE3MywgMTQxNTk4MDQ0Myk7dWYoJ2MnLCA1NjI2NTcxLCAxNDE1OTgwNDQzKTt1ZigncicsIDIxMDE4Mjk3LDI7APCKkgKdASFhQ05zLWdqTHRkY0NFTG50Z2dvWUFDQ2U2aUF3QURnQVFBUklnUkpROExYc0FWZ0FZTm9FYUFCd0FIZ0FnQUVBaUFFQWtBRUJtQUVCb0FFQnFBRURzQUVBdVFGN0ZLNUg0WHFVUDhFQmV4U3VSLUY2bERfSkFlbWhSVXItZmdGQTJRRUFBQQEDJER3UC1BQkFQVUIBDjRBQS4umgIdIWlBYmxQUTagAPA-bnVvZ0lBUS7YAv8I4AKatQ3qAgxlZHVvbG9yZy5jb22AAwCIAwGQAwCYAwCgAwGqAwCwAwC4AwDAA6wCyAMA&dlo=1&referrer=eduolorg.com HTTP/1.0" 200 1013 "http://www.eduolorg.com/?p=759" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MS-RTC LM 8; .NET4.0C; .NET4.0E; InfoPath.3)"
localhost:80 23.89.253.140 - - [14/Nov/2014:16:54:40 +0100] "GET http://ib.adnxs.com/ttj?ttjb=1&bdc=1415980472&bdh=4F3nKVBeJhfyT38BW1dWFJDdn-M.&bdref=http%3A%2F%2Fwww.gameuloved.com%2F%3Fcat%3D2&bdtop=true&bdifs=0&id=3246517&cb=${CACHEBUSTER}&referrer=${REFERER_URL}&pubclick=${CLICK_URL} HTTP/1.0" 200 1988 "http://www.gameuloved.com/?cat=2" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_4_11; fr) AppleWebKit/533.16 (KHTML, like Gecko) Version/5.0 Safari/533.16"
localhost:80 107.178.108.204 - - [14/Nov/2014:16:54:40 +0100] "GET http://cdn.adshexa.com/&t=&size=728x90&u=1586&key=8f19793b2671094e63a15ab883d50137&rand=55977266328 HTTP/1.1" 404 433 "http://docarbos.com/dress-up-games/arab-star-tamer-hosny.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.357.0 Safari/533.3"

J'ai parcouru une bonne partie du net avant de venir ici, désespéré.
Pouvez-vous m'aider et trouver une solution à ce flood ?

Merci d'avance,

Dernière modification par araqiel (Le 15/11/2014, à 17:50)

Hors ligne

#2 Le 17/11/2014, à 00:59

Pseudo supprimé

Re : Problème : Flux important other_vhosts_access.log - Aide avec Fail2Ban

14/Nov/2014:16:54:40 bis repetita

apache mod evasive + éventuellement option iptables tarpit sous fail2ban

104.202.31.88, 192.169.85.214, etc

IP provenant US
apache mod geoip ou iptables mod geoip, A1,A2,US

Il y a également plein d'autres choses à mettre en place ...

Fail2ban ne s'utilise pas comme tu l'utilises.

#3 Le 19/11/2014, à 01:11

araqiel

Re : Problème : Flux important other_vhosts_access.log - Aide avec Fail2Ban

Bonjour,

Je n'ai pas trop compris ce que je dois faire.
Pouvez-vous m'expliquer plus précisément ou m'envoyer sur un post expliquant plus en détails ce que je dois configurer pour Apache ?

Cordialement,

Hors ligne

Pages : 1