Bonjour,
Comment peut-on bloquer l’accès à une Debian par des internautes utilisant des IP anonymes (via des proxy) ?
L’idée c’est de bloquer d’éventuels hackers qui attaqueraient le serveur en cachant leur propre IP.
Merci
Bonjour,
Comment peut-on bloquer l’accès à une Debian par des internautes utilisant des IP anonymes (via des proxy) ?
L’idée c’est de bloquer d’éventuels hackers qui attaqueraient le serveur en cachant leur propre IP.
Merci
De base une IP n’est pas anonyme, là tu cherche a détecter l’utilisation d’un proxy. Si c’est bien fait tu ne pourras le détecter, sinon tu imagine bien que tous les sites avec des contenus réservés a certaines parties du monde le ferais. Après il arrive que dans les entête HTTP les proxy pas vraiment anonymisant laisse des traces.
Cela doit être possible car, Google par exemple, demande confirmation de la connexion à leur site si tu utilises un proxy du type Tor ou un VPN type SecurytiKiis ou Spotflux.
En fait c’est peu être la détection des proxy “crapuleux” dont j’ai besoin. S’il y avait une base comme pour les spammeurs…
Un proxy reste un proxy, LaPoste ne devient pas crapuleuse parcequ’elle convoie des lettres avec de l’antrax
Google a bien des moyen de détecter les IP provenant de proxy, quand tu voyage à l’étranger il t’autorise difficilement à te connecter. Vue qu’il ont un mouchard sur les 3/4 des pages web (ad sens ou g+) ils doivent en tirer des stats de certaines IP qu’il qualifient de “proxy”.
A ton niveau, il faut éplucher les entêtes HTTP, sinon l’idée d’avoir une bdd des ip de proxy me semble peut crédible, car le but d’un proxy est de se faire discret, donc s’il est sur une liste il fera tout pour changer d’IP.
Un proxy reste un proxy, LaPoste ne devient pas crapuleuse parcequ’elle convoie des lettres avec de l’antrax
Google a bien des moyen de détecter les IP provenant de proxy, quand tu voyage à l’étranger il t’autorise difficilement à te connecter. Vue qu’il ont un mouchard sur les 3/4 des pages web (ad sens ou g+) ils doivent en tirer des stats de certaines IP qu’il qualifient de “proxy”.
A ton niveau, il faut éplucher les entêtes HTTP, sinon l’idée d’avoir une bdd des ip de proxy me semble peut crédible, car le but d’un proxy est de se faire discret, donc s’il est sur une liste il fera tout pour changer d’IP.[/quote]
Pour Google il demande confirmation juste pour faire une simple recherche pas pour accéder à son propre compte.
fail2ban bien configuré !
[quote=“ricardo”]fail2ban bien configuré !
Merci pour ta réponse
J’ai déjà Fail2Ban et il marche à plein régime, justement une fois bannit, ils changent d’Ip et recommence l’attaque, comme ce sont des scripts, ils les laissent tourner jusqu’à ce qu’ils trouvent une faille…
Pour les IP tables j’ai le minimum de port d’ouvert.
Salut,
Dans la mesure ou ce fil Hacker me semble indissociable de celui-ci.
Se faire hacker une Debian aussi [strike]aisément[/strike] relève à mon avis, de failles latentes … !
Dans ce type de situation (totalement improbable dans mon royaume) les questions qui me frôleraient l’esprit seraient, dans un premier temps je suppose, les suivantes :
Le CMS que j’utilise respect-il (MAJ) le standard php5 ?
Suis-je en version Stable (Wheezy) (MAJ) ?
J’utilise quelles versions php, apache, etc …
[quote=“PatriceVigier”]
J’ai fait une recherche rien pour CURLOPT_ rien ![/quote]
Je suis sur le cul …
Hello,
Il y a pas mal d’IP à rajouter ici : dsi.ut-capitole.fr/blacklists/
Typiquement cette section ftp://ftp.ut-capitole.fr/pub/reseau/cac … tor.tar.gz
Les blacklists du Capitole, très célèbre dans le monde (c’est pas une blague), sont mises à jour tout les soirs à 22 h.
Il y a aussi ZeuSTracker
zeustracker.abuse.ch/blocklist.php
Ça fait du boulot mais ça dépend de votre besoin.
[quote=“P’tit Nico ”]Il y a pas mal d’IP à rajouter ici : dsi.ut-capitole.fr/blacklists/
[/quote]
Et la catégorie la plus touffue est … adult
Ce n’est certainement pas un fichier blacklist (Quel qu’il soit ! Ce n’est là qu’une pratique dite de bouche trous, hein … ) qui va résoudre le problème de fond, loin de là !
Merci pour ta réponse
J’ai déjà Fail2Ban et il marche à plein régime, justement une fois bannit, ils changent d’Ip et recommence l’attaque, comme ce sont des scripts, ils les laissent tourner jusqu’à ce qu’ils trouvent une faille…
Pour les IP tables j’ai le minimum de port d’ouvert.
NB : ils changent d’Ip et recommencent , à croire qu’ils t’en veulent ?
[quote]Dans ce type de situation (totalement improbable dans mon royaume) les questions qui me frôleraient l’esprit seraient, dans un premier temps je suppose, les suivantes :
Le CMS que j’utilise respect-il (MAJ) le standard php5 ?[/quote]
C’est un site spécifique.
Oui
les dernières stables de Debian, je fais les mises à jour dès qu’elles sont publiées
J’ai fait une recherche rien pour CURLOPT_ rien ![/quote][/quote]
J’ai fait une recherche sur mon site par sur le net…
[quote=“P’tit Nico ”]Hello,
Il y a pas mal d’IP à rajouter ici : dsi.ut-capitole.fr/blacklists/
Typiquement cette section ftp://ftp.ut-capitole.fr/pub/reseau/cac … tor.tar.gz
Les blacklists du Capitole, très célèbre dans le monde (c’est pas une blague), sont mises à jour tout les soirs à 22 h.
Il y a aussi ZeuSTracker
zeustracker.abuse.ch/blocklist.php
Ça fait du boulot mais ça dépend de votre besoin.[/quote]
C’est excellent mais c’est pour naviger vers l’extérieur (j’utilise déjà http://www.shallalist.de), ce que je cherche c’est bloquer les mauvaises IP entrantes.
[quote=“absurdistan”]
NB : ils changent d’Ip et recommencent , à croire qu’ils t’en veulent ?[/quote]
Etant donné que Fail2ban les bloque après quelques tentatives, ils changent d’IP…
[quote=“PatriceVigier”][quote=“absurdistan”]
NB : ils changent d’Ip et recommencent , à croire qu’ils t’en veulent ?[/quote]
Etant donné que Fail2ban les bloque après quelques tentatives, ils changent d’IP…[/quote]
C’est exactement pour ça que l’on te dit que c’est volontaire et pas simplement un simple scanne comme ça pour voir si.
Maintenant si tu ne possède pas de solide mots de passe et un site codé proprement et sécurisé il te reste à bannir le reste du monde
Salut,
Je plussoie !
Ce n’est certainement pas avec ce genre d’information rudimentaire que tu feras avancer ton scmilblick, hein …
[quote=“PatriceVigier”][quote=“absurdistan”]
NB : ils changent d’Ip et recommencent , à croire qu’ils t’en veulent ?[/quote]
Etant donné que Fail2ban les bloque après quelques tentatives, ils changent d’IP…[/quote]
Tant que fail2ban fait bien son travail, tout baigne.
Après, tout dépend quel service est la cible sur ta machine (postfix, apache, …?)
Si c’est ton serveur web, et que les IP semblent venir d’une région ou pays en particulier, y’a moyen de faire des trucs avec mod_geoip2 par exemple.
Si ce sont des attaques ciblées, peut-être vont-ils se lasser au bout d’un moment!
[quote=“BelZéButh”]Salut,
Je plussoie !
Ce n’est certainement pas avec ce genre d’information rudimentaire que tu feras avancer ton scmilblick, hein … [/quote]
Je veux dire qu’il a été développé en php spécialement pour nous et nous n’avons pas eu de problème sauf depuis 1 an.
[quote=“agentsteel”][quote=“PatriceVigier”][quote=“absurdistan”]
NB : ils changent d’Ip et recommencent , à croire qu’ils t’en veulent ?[/quote]
Etant donné que Fail2ban les bloque après quelques tentatives, ils changent d’IP…[/quote]
Tant que fail2ban fait bien son travail, tout baigne.
Après, tout dépend quel service est la cible sur ta machine (postfix, apache, …?)
Si c’est ton serveur web, et que les IP semblent venir d’une région ou pays en particulier, y’a moyen de faire des trucs avec mod_geoip2 par exemple.
Si ce sont des attaques ciblées, peut-être vont-ils se lasser au bout d’un moment![/quote]
Je te remercie je vais voir si les IP viennent d’un pays en particulier, mais je crois, de mémoire, qu’elles viennent de partout.