Se connecter / S'enregistrer
Votre question

De l'autre côté de la barrière !

Tags :
  • Serveur
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Novembre 2006 03:04:55

Bonjour,

J'administre un petit serveur depuis quelques années (Web, FTP, mail...) sous GNU/Linux et les virus, trojans me concernent car j'ai des clients souvent sous W$...

Sur ce forums "Sécurité - Virus", on ne voit (si je puis dire) que le côté de celui qui est infecté.... Mais qu'en est il des autres subissant les tentatives d'attaques actives de ces virus, trojans...

Un exemple de log de mon serveur Web protègé par CLAMAV :

[root@helios lolo]# tail -f /var/log/httpd/error_log | grep virus
[Tue Nov 21 02:47:02 2006] [error] [client 66.246.252.157] [25893] virus daemon connection problem found in request http://66.29.83.160/proxy_check.php
[Tue Nov 21 02:47:10 2006] [error] [client 219.131.157.22] [25559] virus daemon connection problem found in request http://clickingagent.com/proxycheck.php?ip=82.67.59.175...
[Tue Nov 21 02:47:27 2006] [error] [client 221.8.32.99] [25636] virus daemon connection problem found in request http://vote.tom.com/uservote.php
[Tue Nov 21 02:47:30 2006] [error] [client 221.8.32.99] [25893] virus daemon connection problem found in request http://vote.tom.com/error.php?error=xPrS0b6tzba5/caxIbj...
[Tue Nov 21 02:47:33 2006] [error] [client 221.8.32.99] [25636] virus daemon connection problem found in request http://ent.qq.com/zt/2006/star2006/qlnvyr.htm
[Tue Nov 21 02:47:35 2006] [error] [client 221.8.32.99] [25636] virus daemon connection problem found in request http://vote.qq.com/cgi-bin/survey, referer: http://ent.qq.com/zt/2006/star2006/qlnvyr.htm
[Tue Nov 21 02:47:39 2006] [error] [client 221.8.25.201] [26049] virus daemon connection problem found in request http://vote.tom.com/uservote.php, referer: http://ent.tom.com/hero2006/vote/

Bien entendu mon serveur web filtre ceci et c'est pourquoi ils se retrouve en erreurs, car le serveur coupe la connexion !
Mais attention, une analyse du log peut aussi permettre de bloquer totalement l'adresse IP !

C'est extrème, car celui se trouve être le client navigue encore pour l'instant sur le net, jusqu'au jour où son IP sera bloquée !

Autres pages sur : cote barriere

21 Novembre 2006 03:09:36

La question est :

Peut-on se permettre de filtrer de telle adresse IP ?
28 Novembre 2006 10:29:47

Car en 2 mins il y a eut 44 tentatives d'infections... Une tentative toute les 3 secondes...

Si comme moi, les serveurs web bloquent ces adresses IP, combien d'entre vous pourront-ils encore surfer, voir leur mails,...etc
Contenus similaires
Pas de réponse à votre question ? Demandez !
22 Décembre 2006 01:23:52

Bref une analyse rapide de mes logs, montre qu'il y a eut environ 532000 tentatives d'infections, tentatives de hack et divers requêtes non conformes... en un an !
Soit 61 attaques par minutes.... Rien que sur le port 80 (http)

Ayant donc pris des mesures afin que ce genre de requêtes diminue en nombre, sur la base d'une liste d'adresses IP rafraichie toutes les trois heures.
Cela lance l'idée même d'une liste RBL pour le port 80 comme cela existe pour le SMTP.

Ce petit topic pour rappeler que lorsque vous subissez les problèmes tout à fait gênant de virus, vous créez sans le savoir et le vouloir un trafic internet néfaste qui à terme se verra peut-être contraint (les serveurs) de vous bloquer totalement !
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS