Discussions autour du serveur Apache chez soi

sylvain87, mercredi 20 mai 2020 à 10h29
Modifié

Bonjour les zestes,

petit préambule : j’ai des connaissances très modestes dans l’univers des réseaux et serveurs. J’ai profité du confinement pour déterrer un vieux Mac mini de 2007 qui pensait finir ses jours au fond d’un carton. Dans un objectif uniquement pédagogique pour l’instant, je l’utilise comme serveur web à la maison.

J’ai le Mac mini qui tourne sous OS X 10.7.5, apache 2.4.43 avec la configuration par défaut. Je m’amuse en local, ça fonctionne, je suis content je fais tourner un petit projet Django avec le mod_wsgi tout va bien.

L’heure du déconfinement a enfin sonnée : je me dis que je pourrais y accéder depuis l’extérieur. Mon FAI est Free (avec Freebox Revolution). Je redirige le port 80 sur ma machine. J’ai un nom de domaine perso, je crée une entrée DNS A et le reverse DNS est enregistré chez Free. Tout fonctionne toujours.

Venons-en à apache : depuis que mon serveur est accessible depuis internet, j’ai plein de requêtes HTTP qui viennent de je ne sais où o_O En voici quelques exemples :

66.240.205.34 - - (...) "Gh0st\xad" 400 226

109.40.65.246 - - (...) "GET /phpmyadmin/ HTTP/1.1" 404 196

189.159.119.104 - - (...) "POST /cgi-bin/mainfunction.cgi HTTP/1.1" 404 196

45.13.93.90 - - (...) "CONNECT ip.ws.126.net:443 HTTP/1.1" 405 224

81.42.250.190 - - (...) "GET /adv,/cgi-bin/weblogin.cgi?username=admin%27%3Bls%20%23&password=asdf HTTP/1.1" 404 196

5.188.206.138 - - (...) "\x03" 400 226

Je suis étonné que machine soit "testé" alors que mon nom de domaine n’est pas "connu" j’ai aucun site web ou service associé. Comment des requêtes peuvent arriver chez moi comme ça, internet pullule de bots qui scannent tout et n’importe quoi ? Je me pose une question simple, est-ce que je m’expose avec un simple serveur apache, et normalement seul le port 80 est ouvert.

20/05/20 à 10h29
Modifié

+0 -0

anonyme, mercredi 20 mai 2020 à 11h03
Modifié

Je suis étonné que machine soit "testé" alors que mon nom de domaine n’est pas "connu" j’ai aucun site web ou service associé.

On n’a pas besoin du domaine, juste de l’IP. Or, l’adresse IP n’est ni plus ni moins qu’un entier naturel, il suffit donc aux robots de tester les adresses les unes après les autres et ça tombera un jour sur ton serveur.

Tu peux configurer Apache pour refuser de servir les requêtes qui ne mentionnent pas le nom de domaine dans le header Host. En d’autre termes, définir un vhost associé à ton domaine, et un autre vhost par défaut qui renvoie une erreur 403 par exemple.

C’est notamment grâce aux vhost qu’on peut héberger plusieurs sites Web sur un même serveur, qui se charge alors de servir le bon contenu selon le nom de domaine qui a été utilisé.

Doc associée : https://httpd.apache.org/docs/2.4/vhosts/examples.html

Par ailleurs, je te conseille de t’assurer que ton Apache est bien à jour, et que seul le port 80 est ouvert en inbound, il faut voir ça dans les paramètre du par-feu du Mac. La freebox fait déjà office de par-feu (tout est fermé par défaut et tu as dû explicitement accepter le port 80 et le rediriger), mais une double sécurité n’est jamais du luxe

EDIT : je précise, tout de même, que même avec des vhosts configurés ça ne supprime pas totalement le problème. Dès que le nom de domaine sera connu, les robots pour scanner avec. Cela dit, ce n’est pas si grave si tu maintiens le système à jour et que tu appliques les bonnes pratiques de sécurités dans tes applications Web. Il existe bien des systèmes de détection d’intrusion qui peuvent lire en continu les logs Apache et décider que les requêtes bizarres s’apparentent à des bots et les bloquer totalement. Je pense à Fail2ban qui peut faire ça. Mais, le plus souvent ça n’en vaut pas la peine : dès que le bot s’aperçoit qu’il n’y a rien à exploiter, il va voir ailleurs et puis ça s’arrête là.

20/05/20 à 11h03
Modifié

+0 -0

ache, mercredi 20 mai 2020 à 11h16

Dans un objectif uniquement pédagogique pour l’instant, je l’utilise comme serveur web à la maison.*

J’ai eu pendant longtemps un petit serveur chez moi auquel je me connectais à distance. C’est loin d’être idéal.

Venons-en à apache : depuis que mon serveur est accessible depuis internet, j’ai plein de requêtes HTTP qui viennent de je ne sais où o_O […] Je suis étonné que machine soit "testé" alors que mon nom de domaine n’est pas "connu" j’ai aucun site web ou service associé. Comment des requêtes peuvent arriver chez moi comme ça, internet pullule de bots qui scannent tout et n’importe quoi ?

sylvain87

Oui, c’est malheureusement ça. :/

20/05/20 à 11h16

ache.one 🦹 👾 🦊

+1 -0

etherpin, mercredi 20 mai 2020 à 11h31

Tu peux savoir d’où viennent ces requêtes, par exemple : https://who.is/whois-ip/ip-address/45.13.93.90
J’ai l’impression que c’est lié à l’organisation qui t’a fourni ton nom de domaine.

20/05/20 à 11h31

Il se faut s’entraider, c’est la loi de la nature. (Jean de La Fontaine, l’âne et le chien)

+1 -0

anonyme, mercredi 20 mai 2020 à 17h23
Modifié

Au pire utilise un autre port que celui par défaut ça règle le problème de flood des logs.

20/05/20 à 17h23
Modifié

+1 -1

sylvain87, vendredi 22 mai 2020 à 19h39

Merci pour vos réponses. Bon il n’y a pas vraiment de danger, et si un jour je dois héberger un projet sérieux je le ferai pas chez moi et je ferai appel à un service compétant. Ça m’amuse presque, le top des requêtes c’est "GET /phpmyadmin ou /pma Pour la version d’apache2, des mods que j’utilise et python, j’utilise pas ceux d’OSX (qui commence à dater) mais un gestionnaire de paquets pour OSX, je pense que je suis bien à jour.

22/05/20 à 19h39

+0 -0

anonyme, vendredi 22 mai 2020 à 20h26

Quand je faisais des projets en php, il y a une règle que j’aimais bien mettre pour mes projets locaux (à défaut d’avoir un utilisateur spécifique à php/apache), c’est open_basedir qui limite l’accès à tes dossiers.

22/05/20 à 20h26

+1 -0

Risques ?

Pas encore membre ?