Administration Apache trop aggressive ?

[John Shaft]

Bonjour,

Une question bi-classée Linux/Internet, mais au final plus Internet que Linux

j’administre depuis peu un serveur Apache sur la Debian de mon Kimsufi afin d'y faire tourner ownCloud.

Jusqu'alors je trouvais grand max 2-3 occurrences de ce type dans les log access du serveur

mondomaine.pci:80 182.34.47.128 - - [23/Oct/2013:07:07:01 +0200] "GET http://www.baidu.com/ HTTP/1.1" 302 476 "http://www.baidu.com/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"mondomaine.pci:80 58.114.183.245 - - [22/Oct/2013:16:25:16 +0200] "CONNECT www.baidu.com:443 HTTP/1.1" 405 515 "-" "-"

IP majoritairement chinoises et pays voisin et russes et pays slaves (machines majoritairement sous Win 7 d'ailleurs, comme quoi )

Hier, c'est pas loin de 270 entrées de ce types qui ont été enregistrées.

Quand bien même le serveur réponde toujours par une 405 (mod_proxy pas actif) pour les CONNECT et par une 302 pour les GET, ça m'agace quelque peu.

Du coup, au grand maux les grands moyens, j'ai ajouté la règle suivante dans fail2ban :

[Definition]failregex = ^.*:(80|443) <HOST>.*"GET http.*".*            ^.*:(80|443) <HOST>.*"CONNECT.*".*ignoreregex =

Étant un n00b total en regex, ne risque-je pas de surbloquer des ip (sachant le ban survient pour 1 semaine dès la 1ère tentative) ?

A priori nan puisque les seuls GET normalement autorisé sur mon domaine, et que je ne vois pas pourquoi mon serveur tente de faire un CONNECT ailleurs... (sachant que ownCloud est MàJ via les dépôts opensuse)

(A noter que mon système semble clean niveau rootkits et virus, c'est déjà ça)