Bonjour,  
je me permets de m'adresser à vous car je ne trouve plus de solution à mon problème.  
 
Je vous explique la situation.  
Depuis quelques jours maintenant mon serveur (Debian) se fait attaquer par un hacker. Il fait saturer mon site web.  
Je dois donc bloquer son ip, pour cela j'ai utiliser plusieurs moyens :  
- j'ai fait un iptables  
- j'ai modifié le fichier /etc/hosts.deny  
- j'ai modifié le fichier httpd.conf (j'ai meme installer mod_throttle pour limiter les connexions par ip à la seconde)  
- j'ai modifié le fichier .htaccess.  
 
Ces solutions marchaient au début des attaques mais après quelques jours le hacker a reussi à passer au travers.  
Je ne comprends pas comment il fait.  
 
Si quelqu'un à la moindre idée pour le bloquer ou si quelqu'un peut m'expliquer comment il fait merci de me le dire.  
La moindre information pourrait m'etre utile alors si vous avez des idées je vous ecoute.  
 
Merci d'avance

il a changer d'adresse ?

sinon tu peux mettre une regle limitant le nombre de connection sur ton port 80 par seconde (match limit de iptables)
sinon tu peux mettre de la QoS
 
Quel type de saturation ? niveau process ou niveau bande passante.

IL change d'adresse IP toutes les 24h. Je refais mais règles avec la nouvelle mais il n'y a rien à faire il passe quand même.

Niveau bande passante.
 
Merci beaucoup pour vos réponses

S'il te flood tu n'a pas grand chose a faire a part prévenir son FAI.
S'il essaye de récupérer des fichiers sur ton serveur et que c'est cela qui provoque la saturation, fait de la QoS

Non il veut juste bloquer mon site.
C'est quoi la syntaxe exacte de match limit ?

man iptables
6ème lien pour la version francaise
http://www.google.fr/search?hl=fr& [...] %3Dlang_fr
 

Merci,
je ne comprends pas comment il passe à travers les iptables.

Ton firewall toi etre mal configuré.
Décris ton architecture et où est placé ton firewall
et poste le résultat d'un iptables -L -n -v dans un block fixed

Je fais la commande : iptables -A INPUT -s <ip> -j DROP
 
avec iptables -L -n -v j'obtient ceci :
pkts bytes target     prot opt in     out     source        dest                  
    0     0 DROP       all  --  *      *           <ip>        0.0.0.0/0  
 
 
mais ce que je ne comprends pas c'est que les premiers jours cette commande le stoppait mais plus maintenant. Ensuite j'ai mis son ip dans le fichier /ect/hosts.deny, cette technique aussi l'a stoppé un temps mais plus maintenant.

Si son Ip change tous les jours, c'est logique que tu ne puisses pas le bloquer en jouant sur son adresse ip  de la veille. Mais je n'ai toujours pas compris comment il faisait tomber ton serveur : avec une seule machine à lui, il fait un DoS qui bloque ton serveur ? Est ce que parallèlement, il tente pas de faire des tests pour récupérer un accès sur ta machine (via ftp, ssh, ...) ?

Je change l'ip tous les jours dans les commandes. Je fais un netstat -n je vois ses 150 ou 200 connexions sur le port 80 et j'utilise l'ip du jour.
Mais les commandes qui marchaient au debut ne marchent plus maintenant (avec l'ip actualisée), c'est comme s'il contournait les règles de blocage.
 
Je ne sais pas exactement comment il bloque mon serveur je ne suis pas une experte en reseau. Ce que je comprends c'est qu'il prends l'ensemble des connexions possibles et donc ceux qui arrivent derrière reste bloqués.

son IP ne fait que changer c'est ça ? essaye de faire un whois sur son IP et de contacter le service abuse de son FAI (précise l'IP et la date précise).
Sinon applique une règle IPtables avec le paramètre connlimit

Le seul hic c'est pour les proxies

il y a une option connlimit qui conviendrait dans iptables.
PS: j'ai cru que match limit était pour iptables, j'ai regardé tout le man sans trouver cette option

ok merci pour votre aide.
J'ai fait envoyer un mail au service abuse samedi dernier à mon partenaire mais je ne sais pas encore ce qu'ils ont repondu.

oki jlighty je vais regarder ca

_____________

En fait tu as connrate pour limiter le débit.
et tu as limit pour limiter le nombre de connection.

bizarre l'utilisation de limit :
http://cert.uni-stuttgart.de/archi [...] 00107.html
cette option s'applique t-elle réellement sur des connexions ?

Faudrait utiliser les 2 non ?

d'après http://www.kalamazoolinux.org/pres [...] ter-7.html
limit est utilisé pour limiter le nombre de message logués.
connlimit permet de limiter le nombre de connexion par IP (pas génial si une seule IP est partagée via le NAT) :

A la base ce match s'applique sur la regle. Si tu l'utilise c'est regle sera appliquée suivant la limite que tu as mis.
Si tu utilise a coté le statefull de netfilter (ie: le conntrack) tu la fait matcher sur les connection dont l'état est NEW (si tcp avec le flag syn).
Et la elle s'applique sur les connections
 
 

Chez moi je l'ai mise en place pour les connections sur mon port 22 et sur ICMP.
l'utiliser pour les regle de log est également une bonne idée, elle évite que les logs ne soient trop remplis.

oui, cependant je pense qu'avec "limit", tu limites globalement toutes les IP (nombre de connexions/unité de temps) , alors qu'avec  connlimit on limite par rapport à l'adresse IP (nombre de connexions/ip) à moins que je me trompe .

http://archives.neohapsis.com/arch [...] /0878.html
 
iptables -A INPUT -m limit --limit 1/minute -p tcp --syn --destination-port
80 -j ACCEPT
iptables -A INPUT -p tcp --syn --destination-port 80 -j DROP  
 
Moi mon but c'est deviter que le mec lance une boucle infinie sur mon serveur et qu'il me bouffe tt la BP.
 
J'ai installé mod_evasive pour Apache, qui bloque les requetes sur les serveur. Le probleme c'est qu'il renvoie une 503 pour les floodeur mais ca bouffe quand meme la BP. Mais ce module a un parametre que lorsqu'il detecte un floodeur, on peut executer une commande, genre appeler IPTABLES. Ca serait parfait ca mais le probleme c'est que cette commande n'est jamais declenché. Si qqu utilise ce mod...

jlighty: non tu as raison

Comment vous faites pour installer les extensions limit et connlimit?

regarde dans /lib/modules/VERSION/kernel/net/ipv4/netfilter si tu as les modules
 ipt_limit.ko
 ipt_connlimit.ko
 
Si oui alors ils sont installés.
 
La plupart des kernels des distribs actuelles fournissent ipt_limit.
Pour connlimit, moi je l'ai pas. Dans ce cas tu recompiles ton kernel a partir des sources que te proposes ta distrib et du patch provenant de patch-o-matic

ok merci j'espèrai qu'il y aurait une solution plus simple !!!
 
J'avais vu une solution avec patch-o-matic et ensuite recompliler le noyau. J'avoue que ca me fait un peu peur.
 
Merci pour votre aide

accessoirement tu préviens son FAI via des voies légales, ça le calmera.

as-tu jeté un oeil à ça ? :
http://forum.hardware.fr/hardwaref [...] 8574-1.htm

Avec ipsec, on peut bloquer à partir de l'adresse mac??????

aucun rapport