Error.log de apache de 15Go .. à cause de bots qui cherchent URL

Fermé
On3x Messages postés 164 Date d'inscription mardi 20 septembre 2011 Statut Membre Dernière intervention 2 mars 2020 - 12 sept. 2014 à 12:29
CptRomaiin Messages postés 315 Date d'inscription mercredi 23 octobre 2013 Statut Membre Dernière intervention 28 avril 2016 - 19 sept. 2014 à 11:27
Bonjour,

J'ai depuis 1 mois des problèmes. Lorsque je suis sur ma base de donnée, plus rien ne veux marcher, mais les bases de données continuent de se remplir lorsque un visiteur s'inscrit sur le site, etc ... Donc le site reste tout de même fonctionnel.

J'ai trouvé à cause de quoi ça venait, sauf que ça n'arrête pas de se remplir, sans cesse.
Il faut que je vide le fichier /var/log/apache2/error.log avec la commande >/var/log/apache2/error.log .. Tout les jours ce fichier se remplis avec plus de 15 Go de log tous pourris.

La plupart du temps je n'arrive pas à voir ce qu'il y a dedans car le fichier fesant 15 Go, avec nano error.log je n'arrive pas à le lire, ça charge pendant assez longtemps et souvent je dois quitter ma console.

Voici quelques images dans l'ordre, et commentées.
Donc, voici les différentes partitions de mon serveur : http://image.noelshack.com/fichiers/2014/37/1410517065-bb92cfde192.png

Comme vous pouvez le voir, la partition montée sur / fait 17Go sur 20...
Et c'est ici qu'il y a mes base de données ce qui explique pourquoi lorsque tout est plein, on ne peu plus se connecter au site avec nos mdp, ni même s'incrire.

Et je suis aller sur /var/log/apache2/ et j'ai tapé ls -hs . voilà le fichier qui cause tout les problèmes : error.log (image : http://image.noelshack.com/fichiers/2014/37/1410517065-967c163b012.png )

Là je le vide pour attendre ensuite 10 minutes et donner les infos qu'il y a dedans et les mettre ici. (image : http://image.noelshack.com/fichiers/2014/37/1410517179-5a55e1fb2e2.png )
Donc là error.log ne fais plus que .. 0Go : http://image.noelshack.com/fichiers/2014/37/1410517217-92dc17dd282.png

Mais il se remplit déjà ..
Vous allez voir ce qu'il y a dedans sur l'url qui suit, je l'ai upload pour ce sujet, tout se répète.
Essayez de localiser les ip, vous allez voir vous même qu'il s'agit d'une ip venant des Etats unis en sachant que mon site est FR je vois pas ce qu'un américain viendrais faire là.
http://betacraft.fr/telechargement/error.log

Voilà, j'espère que j'ai bien tout détaillé,
@ Bientôt :)

2 réponses

CptRomaiin Messages postés 315 Date d'inscription mercredi 23 octobre 2013 Statut Membre Dernière intervention 28 avril 2016 58
15 sept. 2014 à 14:46
Salut,

C'est effectivement des scans de ton site web afin de récupérer des données sensibles.

Tu devrais installer fail2ban, ça devrait grandement te simplifier la vie, et vérifier tes règles de firewall, parce que ce n'est certainement pas le seul type d'attaque auquel tu vas avoir droit.

Si cela ne suffit pas tu peux également changer le niveau de log dans la conf de ton virtual host :

LogLevel crit
On3x Messages postés 164 Date d'inscription mardi 20 septembre 2011 Statut Membre Dernière intervention 2 mars 2020 8
15 sept. 2014 à 22:19
Salut,
J'ai pas compris quand tu a dit Si cela ne suffit pas tu peux également changer le niveau de log dans la conf de ton virtual host.

Je comprend pas: je vais où ? comment je fais ? qu'est ce que ça va changer ?

Merci en tout cas, et je voulais préciser que j'ai déjà fail2ban, mais je ne sais pas si j'ai une configuration optimale, je te propose de montrer ma configuration si tu veux bien ?

@ Bientôt et merci !
0
CptRomaiin Messages postés 315 Date d'inscription mercredi 23 octobre 2013 Statut Membre Dernière intervention 28 avril 2016 58
Modifié par CptRomaiin le 15/09/2014 à 23:40
Oui tu peux nous monter ta config fail2ban.

Ce que je voulais dire c'est que si malgré l'installation de fail2ban tu as toujours ton fichier de log qui grossi tu peux changer le LogLevel dans le fichier de config d'apache en remplaçant la ligne LogLevel par celle ci :

LogLevel crit
0
On3x Messages postés 164 Date d'inscription mardi 20 septembre 2011 Statut Membre Dernière intervention 2 mars 2020 8
18 sept. 2014 à 23:31
Mais qu'est ce que le LogLevel ?
0
On3x Messages postés 164 Date d'inscription mardi 20 septembre 2011 Statut Membre Dernière intervention 2 mars 2020 8
18 sept. 2014 à 23:40
https://pastebin.com/n90mhPs0 voilà pour mon jail.conf.
Et il n'y aurais pas moyen que quand dans le error.log de apache il y ai un bot qui cherche l'adresse betacraft.fr/forum il soit bannis d'office ? pendant lonnnngtemps ?
0
CptRomaiin Messages postés 315 Date d'inscription mercredi 23 octobre 2013 Statut Membre Dernière intervention 28 avril 2016 58
Modifié par CptRomaiin le 19/09/2014 à 11:28
Dans la configuration de fail2ban il faut que tu actives la section apache (ligne 147) en mettant sous [apache]

enabled = true
Puis tu relance le service fail2ban

Ensuite pour le LogLevel c'est le niveau de log qui sera inscrit dans ton fichier de log. Tu as les différents niveau sur la page suivante, du plus complet au plus simple. Si tu mets le LogLevel à crit, tu auras moins d'informations dans ton fichier de log donc il sera beaucoup plus léger.

LogLevel

Ce LogLevel se paramètre dans le fichier de configuration apache qui paramètre ton virtualhost.
0
On3x Messages postés 164 Date d'inscription mardi 20 septembre 2011 Statut Membre Dernière intervention 2 mars 2020 8
15 sept. 2014 à 13:00
up svp help ^^