Chez oim, forum libreChez oim, forum libre

favicon Google Recherche avancée  

troll

ATTENTION AUX TROLLS !
Signalez les en cliquant sur "signaler au modérateur" sous chaque post.
Ne leur faites jamais face sans fermer la bouche, c'est par là qu'ils déposent leurs oeufs !..
DON'T FEED THE TROLL! Ne l'oubliez jamais !



Pages: [1]   En bas

Auteur Sujet: Un log de connexion, c'est quoi ?  (Lu 2626 fois)

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.265
  • Proprio officiel chez oim !
Un log de connexion, c'est quoi ?
« le: jeudi 15 août 2013, 02:30 »

Si vous me lisez depuis l'ouverture de chez oim, vous savez tous que notre forum à essuyé une campagne de flood/DDoS massive peut de temps après son ouverture.

Il y a un petit moment, j'avais mis en garde les utilisateurs de proxy.
En effet, les proxy gratuits ne sont pas fiables. Il arrive qu'ils "sautent" un bref moment et révèlent l'IP qu'ils sont censés dissimuler.
Cette IP se retrouvera immanquablement dans les logs de connexion.
Si elle peut échapper à un être humain, elle sera interceptée par le serveur.

Un log de connexion, c'est quoi ?

Les logs de connexion sont tout d'abord réservés aux détenteurs de sites web ou de serveurs.
Si vous êtes un administrateur Forumactif, Xooit ou autre, ne cherchez pas ! C'est votre fournisseur de forum/blog qui possède les logs.

Un log de connexion est un fichier dans lequel chaque connexion au serveur d'un site web sera scrupuleusement archivée.
Du moment où la connexion au serveur est établie jusqu'au moment où elle est rompue, tout sera archivé.
Quand vous cliquez sur le lien d'une page, toutes les requêtes nécessaires à l'affichage de cette page seront archivées. (demande des images, vidéos, des fichiers JavaScript et CSS, etc.)
Votre simple arrivée sur la page d'accueil du site est notée.

Qu'est-ce qui est noté ?

Votre adresse IP, l'heure de connexion, le contenu de votre requête (un lien, une demande d'image, etc...), le navigateur utilisé (c'est ce qu'on appelle "l'user-agent", il est la signature de votre navigateur), le système d'exploitation utilisé (Win7, Ubuntu, etc.), le code de statut renvoyé (est-ce que la requête a été accomplie sans problème ou pas), etc...

Vous devez certainement imaginer que si les requêtes de tout le monde sont archivées, la taille d'un log peut devenir colossale !
D'habitude, les logs ne sont jamais regardés tant ils sont énormes et bourrés d'informations dont tout le monde se fout...
Il seront effacés passé un certain temps afin de ne pas encombrer le serveur inutilement.

La consultation des logs de connexion n'est utile que pour vérifier le contenu d'une requête qui aura généré une erreur, par exemple.
Un lien "mort" (un lien qui conduit sur une page "erreur 404") sera consigné dans les logs. Cela facilite grandement le dépannage d'un site.
Les logs sont très utiles en cas de problème !

Un log est aussi très utile en cas d'attaque DDoS (ou tout autre type d'attaque).
Les milliers de requêtes destinées à faire "tomber" le serveur seront consignées.
Un proxy/VPN étant souvant utilisé, si défaillance de ce proxy/VPN il y a, la véritable IP de l'attaquant sera impitoyablement archivée.
C'est ce qui c'est produit à la naissance de chez-oim.
Le proxy utilisé a "décroché" quelques secondes. Ce délai a été grandement suffisant pour noter quelques centaines d'IP correspondant aux requêtes multiples de l'attaquant.
Ces centaines d'IP identiques en l'espace de quelques secondes ne laissaient aucun doute quant au intentions de la personne "visitant" chez oim. Il s'agissait d'une attaque par déni de service (DDoS).

Grâce à la défaillance de ce proxy, le FAI a pu être identifié et le log de connexions transmis.

Les logs de connexion ne servent qu'à ça.
Identifier et localiser les erreurs sur un site web et avoir des preuves contre un éventuel attaquant.

Sinon, les logs ne sont jamais consultés tant ils sont énormes et rébarbatifs.
Ces fichiers ne sont pas étudiés pour en faire une lecture quotidienne "de plaisance"...
Leur lecture est une corvée !

Il existe des log pour tout ! Les accès au site comme expliqué ici, les accès à la base de données, les accès au serveur en FTP ou SSH (ce sont des accès spéciaux réservés aux webmasters), les mails, etc. Tout ce qui se passe sur un serveur trouvera sa place dans un fichier de log !

A titre d'exemple, voici un log de connexion tel que vous pourriez en avoir si vous possédez un site web :
Attention ! Ce log n'est pas très "fournit". Le site concerné n'est pas encore ouvert. Sinon, sur une journée, la longueur de la liste serait astronomique !
Les IP ont été masquées, bien entendu, et ont été remplacées par "***.***.***.***"....



***.***.***.*** - - [12/Aug/2013:00:00:48 -0400] "GET / HTTP/1.0" 200 1712 "-" "-"
***.***.***.*** - - [12/Aug/2013:01:25:20 -0400] "GET / HTTP/1.1" 200 810 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9) AppleWebKit/537.54.1 (KHTML, like Gecko) Version/7.0 Safari/537.54.1"
***.***.***.*** - - [12/Aug/2013:01:25:20 -0400] "GET /favicon.ico HTTP/1.1" 200 7358 "https://chez-oim.org/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9) AppleWebKit/537.54.1 (KHTML, like Gecko) Version/7.0 Safari/537.54.1"
***.***.***.*** - - [12/Aug/2013:05:29:49 -0400] "GET / HTTP/1.1" 200 810 "-" "Opera/9.80 (Windows NT 5.1) Presto/2.12.388 Version/12.16"
***.***.***.*** - - [12/Aug/2013:05:29:50 -0400] "GET /favicon.ico HTTP/1.1" 200 7358 "https://chez-oim.org/" "Opera/9.80 (Windows NT 5.1) Presto/2.12.388 Version/12.16"
***.***.***.*** - - [12/Aug/2013:12:00:50 -0400] "GET / HTTP/1.0" 200 1712 "-" "-"
***.***.***.*** - - [12/Aug/2013:12:02:10 -0400] "GET / HTTP/1.1" 200 810 "-" "Mozilla/5.0 (X11; U; Linux x86_64; C) AppleWebKit/533.3 (KHTML, like Gecko) Qt/4.7.1 Safari/533.3"
***.***.***.*** - - [12/Aug/2013:12:22:05 -0400] "GET / HTTP/1.1" 200 810 "-" "Opera/9.80 (Windows NT 5.1) Presto/2.12.388 Version/12.16"
***.***.***.*** - - [12/Aug/2013:12:22:06 -0400] "GET /favicon.ico HTTP/1.1" 200 7358 "https://chez-oim.org/" "Opera/9.80 (Windows NT 5.1) Presto/2.12.388 Version/12.16"
***.***.***.*** - - [12/Aug/2013:16:00:23 -0400] "GET / HTTP/1.0" 200 1712 "-" "-"
***.***.***.*** - - [12/Aug/2013:20:00:29 -0400] "GET / HTTP/1.0" 200 1712 "-" "-"
***.***.***.*** - - [12/Aug/2013:22:00:54 -0400] "GET / HTTP/1.0" 200 1712 "-" "-"
***.***.***.*** - - [12/Aug/2013:22:32:58 -0400] "GET / HTTP/1.1" 200 810 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9) AppleWebKit/537.54.1 (KHTML, like Gecko) Version/7.0 Safari/537.54.1"
***.***.***.*** - - [12/Aug/2013:22:57:54 -0400] "GET / HTTP/1.1" 200 810 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9) AppleWebKit/537.54.1 (KHTML, like Gecko) Version/7.0 Safari/537.54.1"



En l'espace d'une seconde, des dizaines de requêtes sont archivées.
Imaginez la taille d'un log sur une journée !!!




A la vue de ceci, on comprend mieux pourquoi les logs ne sont jamais regardés.
C'est tout simplement barbant, mal foutu, moche, etc...
IP archivée
Pages: [1]   En haut
 

+ Réponse Rapide

Page générée en 0.149 secondes avec 24 requêtes.