🛡️ Synthèse des Mesures Anti-Bot et de la Résolution des Problèmes

[Bastien]

Synthèse des Mesures Anti-Bot et de la Résolution des Problèmes

Salut l'équipe de modération,

Je viens de finaliser une série d'opérations critiques visant à sécuriser notre serveur contre le scraping et l'activité des robots malveillants. C'est un travail qui a nécessité plusieurs étapes de vérification.

1. Le Problème Cible : Le Scraper IPv6

Mon objectif initial était de bloquer une adresse IPv6 spécifique, 2001:bc8:610:14:da5e:d3ff:fe49:a5f8, qui effectuait un téléchargement agressif et non identifié sur le script /download/file.php.

Comportement : L'adresse faisait des requêtes très rapides, sans envoyer d'en-tête User Agent ni de Referer ("-" "-" dans les logs).

Ma Solution : J'ai créé la prison Fail2Ban spécifique : [apache-download-no-user-agent] (seuil de 5 tentatives en 5 minutes).

Les Défis Techniques Rencontrés et Résolus

Voici les deux problèmes majeurs que j'ai rencontrés pour que ma règle soit effective :

Problème n°1 : Mon Filtre n'Identifiait pas le Trafic IPv6

Le Symptôme : Malgré la preuve dans les logs, le bot IPv6 continuait son activité et n'était pas banni par Fail2Ban.

La Cause : L'expression régulière (failregex) du filtre était trop rigide et ne prenait pas correctement en compte le format des adresses IPv6.

La Correction : J'ai modifié le failregex pour le rendre plus robuste. Le test avec fail2ban-regex a confirmé que la correction était bonne et que l'activité du bot était bien capturée.

Problème n°2 : L'Activation du Bannissement

Le Symptôme : Après la correction, le bot continuait ses attaques et n'était pas bloqué immédiatement.

La Cause : Le service Fail2Ban avait besoin d'un redémarrage propre (systemctl restart fail2ban) pour relire le nouveau filtre et prendre en compte l'historique des tentatives passées.

Le Résultat : Le redémarrage a forcé la relecture des logs et le bot 2001:bc8:610:14:da5e:d3ff:fe49:a5f8 fait maintenant partie des 28 adresses bloquées par cette prison.

Information Cruciale pour les Modérateurs

Ma Sécurité : J'ai vérifié que mon adresse IP légitime (181.131.79.49) n'est jamais capturée par ce filtre.

Statut Actuel : La prison apache-download-no-user-agent est maintenant pleinement opérationnelle et protège contre ce type de scraping.

Demande de Signalement

Si un membre signale un problème d'accès ou un bannissement inexpliqué, veuillez vérifier en priorité :

Si son IP apparaît dans la liste de bannissement de la prison apache-download-no-user-agent.

Si son IP est bloquée par la prison apache-badbots (qui cible des User Agents jugés hostiles).

Si un membre est banni à tort, la solution est de débannir son IP via la commande fail2ban-client set [nom_de_la_jail] unbanip [IP_à_débloquer].

Merci à tous pour votre vigilance !

[Denis Chassac]

Merci pour le boulot fastidieux...

et vive Gemini (pas Criket ).

@+
DEnis

[Bastien]

ALors Gemini 3 il est nul c'est une catastrophe, il m'a généré plus de problèmes que de solutions en fait, c'est Claude qui a aidé à sauvé le forum des aspirateurs chinois !

Bastien

Synthèse GeoIP de Toutes les IPs Bannies

Voici le décompte des Pays d'origine pour les 360 adresses IPv4 uniques actuellement bannies sur votre serveur (issues de apache-badbots, apache-download-no-user-agent, apache-scanners, phpbb, phpbb-register et sshd).
Pays Nombre d'IPs Jails les plus Actives
États-Unis 233 apache-badbots, apache-scanners, sshd
Allemagne 10 apache-badbots, sshd
Chine 9 sshd
Brésil 7 sshd
Pays-Bas 7 apache-badbots, sshd
Inde 6 sshd
France 5 apache-download-no-user-agent, sshd
Royaume-Uni 4 sshd
Russie 4 sshd
Singapour 3 sshd
Irlande 3 apache-badbots
Japon 3 sshd
Corée du Sud 3 sshd
Égypte 2 sshd
Italie 2 sshd
Canada 2 sshd
Australie 2 sshd
Autres (1 IP chacune) 55 sshd majoritairement
TOTAL 360

Analyse Détaillée par Catégorie

1. Dominance des États-Unis (233 IPs)

Plus des deux tiers de vos bannissements actifs proviennent des États-Unis. En regardant les jails :

apache-badbots (Apple, Microsoft, Cloud Providers): La majorité des IPs d'Apple (e.g., 17.x.x.x) et de Microsoft (e.g., 40.x.x.x, 52.x.x.x) sont géolocalisées aux États-Unis (même si certaines plages Microsoft sont en Irlande). Ces IPs sont généralement des robots légitimes mais mal configurés (ou non désirés).

apache-scanners (Centres de Données): Les IPs comme celles de Vultr ou Colocation America (e.g., 216.24.210.x) sont typiques des scanners malveillants à la recherche de failles.

sshd (DigitalOcean, etc.): Beaucoup de tentatives de connexion SSH proviennent également de l'infrastructure Cloud américaine.

2. Attaques SSH (Monde Entier)

La jail sshd présente la plus grande diversité géographique, avec des IPs provenant de 50 pays différents ou plus (après agrégation des 55 adresses « Autres »). Cela confirme que les tentatives de connexion SSH (brute force) sont un phénomène mondial et distribué.

3. Bots et Scanners Européens/Asiatiques

Les pays comme l'Allemagne, la Chine, et les Pays-Bas apparaissent en tête après les USA, principalement pour des tentatives sur SSH ou des bots Apache (apache-badbots).

Ce résumé montre clairement que les menaces proviennent majoritairement des États-Unis, principalement via de grandes infrastructures cloud/data centers, mais que les attaques de type brute force SSH sont un risque qui peut émerger de n'importe quel pays.

GeoIP Détaillé sur SSH

Adresse IP (IPv4) Pays (GeoIP) Organisation (ASN) Type d'IP (Général)
Chine (exemples)
101.47.143.192 Chine China Unicom FAI / Réseau Télécom
101.47.49.210 Chine China Unicom FAI / Réseau Télécom
106.12.80.149 Chine Alibaba Cloud Centre de Données
49.49.243.18 Chine Alibaba Cloud Centre de Données
Allemagne (exemples)
194.105.81.37 Allemagne NetDirekt Hébergeur / Datacenter
92.118.39.115 Allemagne Contabo GmbH Centre de Données
92.118.39.101 Allemagne Contabo GmbH Centre de Données
188.166.4.16 Allemagne DigitalOcean Centre de Données
Grèce (exemple)
79.104.0.82 Grèce OTE S.A. FAI / Réseau Télécom

Interprétation

Chine : Les attaques proviennent d'un mélange d'opérateurs de télécommunications majeurs (China Unicom) et de grands fournisseurs de cloud/hébergement (Alibaba Cloud). Cela indique que les tentatives de connexion SSH sont générées à la fois par des utilisateurs finaux (potentiellement infectés) et par des machines virtuelles louées pour des scans automatisés.

Allemagne : La source principale est clairement les centres de données et les fournisseurs d'hébergement (Contabo, NetDirekt, DigitalOcean). Ces IPs sont très souvent utilisées pour les bots et les scripts de scan agressifs, car il est facile d'y louer un serveur pour un court laps de temps.

Grèce : L'adresse ban est liée à un grand opérateur de télécommunications (OTE S.A.), ce qui est plus courant pour un utilisateur final ou un appareil grand public.

En résumé, les tentatives de brute force SSH sont fortement corrélées à l'utilisation de serveurs dans des centres de données (comme en Allemagne et pour une partie de la Chine) pour leur nature facile à déployer, tandis que d'autres proviennent de grands réseaux d'utilisateurs finaux.

[remi.flo]

Scraping... Fail2Ban Failreg

J'ai rien compris ! C'est des synonymes de suspension, soupape, boîte de transfert ?

La prison apache-download-no-user-agent est maintenant pleinement opérationnelle...

Je suis innocent, j'ai pas envie de finir en prison

Si un membre signale un problème d'accès...

J'ai bien eu des problèmes pour accéder au forum ces 2 ou 3 derniers jours, mais ça marche bien aujourd'hui.

En tout cas, merci à Claude et à toi pour le gros boulot de fait !
Rémi

[Bastien]

Claude c'est lui : https://claude.ai

[Pivot]

Bonjour et merci pour ce travail auquel je n'ai rien compris ! Heureusement qu'il y a des spécialistes qui veillent !
Pierre