Bonsoir,

Je viens de lire l’article de korben sur « zip bomb », du coup je me disais que ce serais chouette de retourner tous les 404 de nginx sur un zip bomb.
Vous en penser quoi ? Comment devrai-je théoriquement m’y prendre pour mettre ça en place ?

Cordialement

ou tu veux, ensuite il faut faire pointer l'erreur 404 sur cette page la

    arckosfr D'accord merci, du coup faudrait que je regarde du coter de la config global de nginx ? Ou dois-je rajouter un élément à chacun de mes vhost ?

      Un utilisateur normal peut tomber sur une 404, je rejoins le fait que c'est hard. A ta place je mettrais ça pour ceux qui tentent les URL classiques : "phpmyadmin", "admin" etc.

        Je ferais comme @Aerya , j'utiliserai d'abord logwatch pour répertorier les pages les plus recherchées par les scanners, puis je ferais les vhost correspondant.

        En tout cas l'idée est pas mauvaise, je vais peut être regarder aussi pour mettre ça sur mon serveur aussi. 😋

          Hello Aerya et myxomatom

          Vous avez quand même pas tord, et ton idée myxomatom me plait carrément.
          Donc en fait si je comprend bien va falloir crée des vhost avec les termes plus ou moins rechercher ?

          myxomatom Si tu te lance la dedans ça t’ennuierai de me partager ta config ?

          ++ 🙂

                Salut
                Comme base, tu peux avoir une idée avec le filtre fail2ban bad-bot du script auto déjà, c'est des trucs qui tapent souvent

                # try to access to directory
            ^<HOST> .*?"GET .*admin.* 403
            ^<HOST> .*?"GET .*admin.* 404
            ^<HOST> .*?"GET .*install.* 404
            ^<HOST> .*?"GET .*dbadmin.* 404
            ^<HOST> .*?"GET .*myadmin.* 404
            ^<HOST> .*?"GET .*MyAdmin.* 404
            ^<HOST> .*?"GET .*mysql.* 404
            ^<HOST> .*?"GET .*websql.* 404
            ^<HOST> .*?"GET .*webdb.* 404
            ^<HOST> .*?"GET .*webadmin.* 404
            ^<HOST> .*?"GET \/pma\/.* 404
            ^<HOST> .*?"GET .*phppath.* 404
            ^<HOST> .*?"GET .*admm.* 404
            ^<HOST> .*?"GET .*databaseadmin.* 404
            ^<HOST> .*?"GET .*mysqlmanager.* 404
            ^<HOST> .*?"GET .*phpMyAdmin.* 404
            ^<HOST> .*?"GET .*xampp.* 404
            ^<HOST> .*?"GET .*sqlmanager.* 404
            ^<HOST> .*?"GET .*wp-content.* 404
            ^<HOST> .*?"GET .*wp-login.* 404
            ^<HOST> .*?"GET .*typo3.* 404
            ^<HOST> .*?"HEAD .*manager.* 404
            ^<HOST> .*?"GET .*manager.* 404
            ^<HOST> .*?"HEAD .*blackcat.* 404
            ^<HOST> .*?"HEAD .*sprawdza.php.* 404
            ^<HOST> .*?"GET .*HNAP1.* 404
            ^<HOST> .*?"GET .*vtigercrm.* 404
            ^<HOST> .*?"GET .*cgi-bin.* 404
            ^<HOST> .*?"GET .*webdav.* 404
            ^<HOST> .*?"GET .*web-console.* 404
            ^<HOST> .*?"GET .*manager.* 404

                y'en a d'autres, genre les w00tw00T du diable, mais c'est déjà ça 😉
                Ex.

                Je comprennais pas au début en quoi c'était utile, mais maintenant si x)
                Bon, après est-ce que cela va vraiment faire tomber un bot ? x)

                  Répondre…