Depuis un certain temps les traces du serveur étaient devenues inexploitables, et donc avec le risque de laisser passer une vraie attaque, et ça à cause des bot d’OpenAI et Meta qui se mettaient à délirer et à pilonner le serveur avec des requêtes avec la chaîne . »atom » répétée un certain nombre de fois dans la query string.

Ç’aura été l’occasion de replonger dans les paramétrage de lighttpd et de fail2ban, pour les mettre à jour, les simplifier et les rendre plus maintenables et bien sur durcir la durée de rétention du jail recidive.

Sur le principe au niveau fail2ban j’ai une règle qui porte sur les erreurs 40x (au lieu de plusieurs) et au niveau lighttpd une erreur 403 est générée lorsque la chaîne fautive et détectée. Pour que les bot qui balayent systématiquement l’internet à la recherche de faille soient moins présent une règle lighttpd passe en 403 les accès sur un domaine non admis, tant pis pour les script kiddy et les chercheurs en sécurité mais ils me gavaient grave, voir passer 10 fois par jour les mêmes tests argh …

A l’ocassion aussi j’ai nettoyé la base sqlite de fail2ban (requête VACUUM;)  ce qui l’a fait passer de plus de 500Mo à une petite dizaine. Toujours ça de gagner.

On peut en résumé dire que j’ai appliqué les deux règles :
– simplifier
– diminuer la surface d’attaque

Suis je serein ? non mais ayant baissé le niveau de bruit dans les logs je me sens plus prêt pour réagir en cas de nouvelle attaque. Dans tous les cas un serveur sur Internet demande un peu d’attention journalière.