2
Bloquer une ip
Cela arrive parfois, un petit malin s’amuse à flooder un des services de votre serveur. Le dernier en date pour moi c’était hier soir, 15000 connexions avec erreur de syntaxe en quelques minutes sur le serveur de mail.
Et si on le bloquait via son ip ? Voyons comment y remédier.
Sous Linux, Iptables est là pour ça (entre autres). Il suffit de lancer cette commande pour ajouter une règle qui va bien :
iptables -A INPUT -s <ip_embêtante> -j DROP
Attention à ne pas mettre votre ip, vous seriez dans l’impossibilité de vous connecter au serveur (effet immédiat). Les règles sont perdues au redémarrage donc si vous voulez les conserver de manière permanente, il va falloir faire un script lancé au démarrage. Dans ce cas, bloquer cette ip jusqu’au redémarrage me va bien.
Et pour lister vos règles en cours :
iptables -L
C’est toujours utile à avoir sous la main, ne serait-ce que pour le petit malin occasionnel.
Et comment savoir si son serveur est attaqué ? (commande, logs…)
Pour Apache par exemple, on peut lire les logs (/var/log/apache2/access.log). On y voit l’ip, la page demandée, le referer et l’user-agent.
Une commande utile pour les voir défiler en temps réel :
tail -f /var/log/apache2/access.log
Pour les autres services, pareil, faut trouver les logs qui sont quasi tous dans /var/log mais bon, on est pas toujours derrière ses logs.
Il faut donc avoir un monitoring du serveur et choisir parmi les centaines de solutions possible : http://www.google.fr/#hl=fr&q=monitoring+serveur
(j’utilise rrdtool, ça me donne de beaux graphes)