Aller au contenu

Attaque Massive Sur Le Port 80


CCWH

Messages recommandés

Salut,

Mon pauvre DS-107 connecté sur la toile depuis 6 ans subit depuis plusieurs jours une attaque en en règle sur le port 80.

Je vois le message...

date heure (c'est variable) kernel: NET: xxx messages suppressed.

Au début la valeur xxx était faible. Depuis aujourd'hui xxx dépasse les 200 messages. Résultat le Syno est devenu totalement inaccessible sur le port 80 car j'ai un message de ce type toutes les 2-3 secondes.

Le Syno répond parfaitement sur les autres ports ouverts.

J'ai fermé le port 80 par précaution.

Comment identifier l'IP (ou les IP) qui m'attaquent ?

Je ne vois rien dans les fichiers journal du Syno

Je ne vois rien dans le log message.txt (var/log)

J'utilise beaucoup mon Syno en Http (partage de photos, blog, ...) et perdre le port 80 est une sacré mauvaise nouvelle.

Bref comment m'en sortir ?

Modifié par CCWH
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Pour ma part, depuis 4 jours, je suis également victime de nombreuses tentatives d'intrusion sur mon Syno. Mail serveur à bloqué 96 IP aujourd'hui. Depuis le début j'en suis à près de 500.

Les IP proviennent de zones géographiques différentes. Je me suis demandé si la MàJ de la Beta 5.0 n'y était pas pour quelque chose.

J'ai activé mon pare feu sur le Syno et la fonction DoS.

Nous verrons dans les 24 heures à venir.

Lien vers le commentaire
Partager sur d’autres sites

J'ai activé (depuis toujours) le blocage auto ainsi que le pare-feu.

Le problème principal est que le "gentil pirate" est discret donc il n'affiche pas son IP.

En activant le log Apache (httpd-error-user.log) désactivé par défaut, j'ai découvert quelques traces suspectes que j'ai immédiatement bloqué dans la fonction pare-feu. Sachant qu'il y avait deux IP, de deux zones géographiques différentes, c'est déjà mauvais signe...

Lien vers le commentaire
Partager sur d’autres sites

J'ai laissé le port 80 fermé plusieurs jours. J'ai réouvert hier. Ça c'est (temporairement ?) calmé...

En tout cas le log Apache (httpd-error-user.log) est très instructif... Beaucoup de visiteurs (!) essayent d'accéder à la console phpMyAdmin...

Heureusement, elle inaccessible de manière simple...

Lien vers le commentaire
Partager sur d’autres sites

Merci :)

Je voulais également installer une liste noire d'IP (via iptables) mais je n'ai pas trouvé de fichier formaté correctement.

Dans la foulée cela m'aurait permis de bannir certains pays trop curieux (Chine, Taiwan, etc...).

Y-a-t-il moyen de trouver un fichier de ce type quelque part ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.