Bonjour à tous, je ne comprends pas une chose, j’ai des requêtes HTTP/1.0 et 1.1 limitées via Clouflare et Fileban, et d’après le journal, cela réussit, mais parfois je vois cette image. Veuillez me dire si ce fichier peertube.access.log contient des requêtes via IP vers le serveur Nginx ou via domaine ? Merci
Alors ça c’est « juste » un bot qui cherche à exploiter des failles PHP (le genre de bot qui teste des requêtes type au pif sur plein de sites web).
Ce ne sont donc pas des requêtes légitimes. Mais aucun risque ici, Peertube n’étant pas en PHP (et n’utilisant pas le type de lib que le bot essaie d’exploiter).
Un peu plus de détails techniques, si ça t’intéresse: on voit dans le chemin que ça cherche un script PHP (vu les chemins testés) qui s’appelle eval-stdin.php. Vu le nom, c’est un script qui - s’il existe - exécuterais le code (eval) qu’on lui présenterai en entrée (stdin - entrée standard). Ce qui permettrais de prendre contrôle du serveur à distance, en lui faisant exécuter un peu ce qu’on veut. Les différents chemins testés sont des chemins classiques où on peut avoir des librairies PHP. Le bot espère donc que quelqu’un ait installé cette librairie un peu par accident.
En revanche, ce qui n’aide pas, c’est que Peertube renvoi un statut « 200 - OK », au lieu de renvoyer « 404 - Not Found ». Donc le bot peut croire que la page existe, et risque de continuer un peu plus longtemps à essayer de l’exploiter. @Chocobozzz , ce serait possible de renvoyer des 404 dans ce genre de situation ?
Sauf erreur, tracker/socket c’est l’adresse du point d’entrée Websocket utilisé par Peertube. C’est utilisé pour communiquer l’adresse des peer quand on regarde une vidéo.
Merci, mais je voulais comprendre si les requêtes vers peertube.access.log sont envoyées par domaine, par exemple exemple.com, ou par IP ? Comme je l’ai déjà écrit, j’ai bloqué les protocoles HTTP 1.0 et 1.1 et, en fait, il ne devrait pas y avoir de telles demandes, je me demande comment elles arrivent ici. Mon domaine est connecté à CF et il existe un filtrage strict de ces demandes ; mes autres serveurs avec des paramètres similaires n’ont pas de journaux similaires. Peut-être que ce sont des questions que je ne comprends pas ? Mes règles
Elles sont transmises sous forme de torrent, cela affecte-t-il la vitesse ou les conditions techniques de lecture des vidéos ? Merci
Et j’aimerais aussi comprendre de quel type de demandes il s’agit ? S’ils sont nécessaires, il serait bon de comprendre comment les ajouter à l’exception de blocage
HTTP Version
HTTP/1.1
Method
GET
Host
angeltales.angellive.ru
Path
/socket.io/
Query string
?accessToken=5c6450621f6e34e1d6be459836d07a81de3383d2&EIO=4&transport=websocket&sid=yXhr_afCjDDn7LyYAABg
Mmm, je comprends, mais ce qui est étrange c’est que je bloque les protocoles ci-dessus, à la fois CF et File2ban, comment cela y arrive est un mystère pour moi, donc je veux comprendre)
(not http.request.version in {"HTTP/2" "HTTP/3" "SPDY/3.1"} and not ip.geoip.asnum in {15169 208722 13238 14618 714 47764 13649 16509 132892} and not http.request.uri.path contains "/tracker/socket" and not http.request.uri.path contains "/socket.io/")
