Bon le titre est pas tres clair mais je savais pas trop comment appeler ca.
J'ai donc un serveur web sous IIS4 (en fait un SBS 4.5 mais Exchange et Proxy Server ne sont plus utilise et desactives). Le probleme c'est qu'il y a des petit cons qui essaient de l'utiliser comme proxy pour faire du brute force sur des sites porno payant. J'ai des trucs de ce style dans les logs:
Le site a droite c'est le site vers lequel ils voudraient etre redirige. C'est la place du referer normalement dans les logs, pour les requetes normales j'ai des trucs du style google.fr/search?=toto... On a aussi leur IP, la page qu'ils essaient d'atteindre, le user qu'ils essaient d'utiliser...
Mon serveur ne peut pas etre utilise comme proxy pour aller faire du brute force anonymement, donc pas de souci de ce cote la. Mais par contre il y a des pages avec acces par user/pass sur mon site et IIS commence par verifier le user/pass avant d'aller voir que la page demande ne fait pas partie de mon site. Donc a chaque requete de ce style j'ai un evenement "audit des echecs" dans mon journal de securite de NT, ce qui me pourri completement mon journal, et j'ai mon log IIS completement pourri par ces requetes aussi. En plus apparement IIS leur repond un truc genre "unknown username or bad password" alors les mecs insistent.
Pour les vrai gros lourd qui ballancent des milliers de requetes j'envoie un mail a leur ISP ce qui donne avertissement au mec ou resiliation de l'abonnement, mais c'est chiant et mes logs sont toujours pourris par ces requetes.
Quelqu'un aurait une idee? Je m'en fout de recevoir des requetes de ce genre vu qu'elles ne passent pas mais je veut des logs clean.
Marsh Posté le 16-02-2004 à 17:26:52
Bon le titre est pas tres clair mais je savais pas trop comment appeler ca.
J'ai donc un serveur web sous IIS4 (en fait un SBS 4.5 mais Exchange et Proxy Server ne sont plus utilise et desactives).
Le probleme c'est qu'il y a des petit cons qui essaient de l'utiliser comme proxy pour faire du brute force sur des sites porno payant. J'ai des trucs de ce style dans les logs:
2004-02-15 11:29:51 82.182.97.228 funkyfunky W3SVC4 SERVEUR 192.168.0.21 GET /members/index.shtml - 401 5 728 322 0 80 Mozilla/4.0+(+compatible;+[de];+Windows+NT5.0;+DigiExt+) - http://www.lustylisa.com/members/index.shtml
2004-02-15 11:29:54 82.182.97.228 comeon W3SVC4 SERVEUR 192.168.0.21 GET /members/index.shtml - 401 5 728 316 10 80 Mozilla/4.73+(+compatible;+[jp];+Windows+XP;+DigiExt+) - http://www.lustylisa.com/members/index.shtml
2004-02-15 11:29:54 82.182.97.228 cunt W3SVC4 SERVEUR 192.168.0.21 GET /members/index.shtml - 401 5 728 311 10 80 Mozilla/4.7+(+compatible;+MSIE+5.5;+Windows+XP;+DigiExt+) - http://www.lustylisa.com/members/index.shtml
Le site a droite c'est le site vers lequel ils voudraient etre redirige. C'est la place du referer normalement dans les logs, pour les requetes normales j'ai des trucs du style google.fr/search?=toto...
On a aussi leur IP, la page qu'ils essaient d'atteindre, le user qu'ils essaient d'utiliser...
Mon serveur ne peut pas etre utilise comme proxy pour aller faire du brute force anonymement, donc pas de souci de ce cote la. Mais par contre il y a des pages avec acces par user/pass sur mon site et IIS commence par verifier le user/pass avant d'aller voir que la page demande ne fait pas partie de mon site. Donc a chaque requete de ce style j'ai un evenement "audit des echecs" dans mon journal de securite de NT, ce qui me pourri completement mon journal, et j'ai mon log IIS completement pourri par ces requetes aussi.
En plus apparement IIS leur repond un truc genre "unknown username or bad password" alors les mecs insistent.
Pour les vrai gros lourd qui ballancent des milliers de requetes j'envoie un mail a leur ISP ce qui donne avertissement au mec ou resiliation de l'abonnement, mais c'est chiant et mes logs sont toujours pourris par ces requetes.
Quelqu'un aurait une idee? Je m'en fout de recevoir des requetes de ce genre vu qu'elles ne passent pas mais je veut des logs clean.