Plusieurs commandes pour voir les dernières tentatives (réussies ou non) de connexions.

ccze est un petit programme pour mettre les logs en couleur et en faciliter la lecture. Intéressant. :-)

Dans les logs d'apache, j'ai une ligne qui apparait souvent :
83.134.xx.xx - - [17/Aug/2014:15:38:15 +0200] "GET /favicon.ico HTTP/1.1" 404 504 "-" "Mozilla/5.0 (X11; Ubuntu; ...)"

J'ai donc cherché ce que c'était et apparemment, c'est une requête automatique pour trouver l'icône du site. On peut désactiver cette demande automatique sur firefox en suivant les instructions du lien. Ce qui n'empêche pas qu'il faut que je face une petite règle (iptables?) pour éviter de pourrir mes logs.

(Pour voir les logs apache : )
simon@ordi:~$ sudo cat /var/log/apache2/access.log

J'ai installé logwatch et j'ai vu quelque chose qui m'a semblé suspect dans les logs :
| ========
| --------------------- httpd Begin ------------------------
| Requests with error response codes
| 400 Bad Request
| /w00tw00t.at.ISC.SANS.DFind:): 1 Time(s)
| ========

(xx.xx.xx.xx est à remplacer par l'IP du serveur.)

On actualise iptables :
| ========
| simon@ordi:~$ sudo /etc/init.d/firewall
| ========

On peut vérifier que les deux règles sont bien prises en compte :
| ========
| simon@ordi:~$ sudo iptables -L INPUT -nvx
| Chain INPUT (policy DROP 15 packets, 1188 bytes)
| pkts bytes target prot opt in out source destination
| 7 2912 DROP tcp -- 0.0.0.0/0 xx.xx.xx.xx tcp dpt:80 STRING match "Host: xx.xx.xx.xx" ALGO name bm TO 700
| 0 0 DROP tcp -- 0.0.0.0/0 xx.xx.xx.xx tcp dpt:80 STRING match "GET /w00tw00t.at.ISC.SANS." ALGO name bm TO 70
| ========

J'ai testé en tapant http://xx.xx.xx.xx dans firefox, j'ai eu une erreur (timeout) et je vois que 7 paquets ont été rejetés. :-)