Possible spoofing attempt

Forum dédié à l'accès à DomoticZ depuis l'extérieur de chez vous : routage de ports, VPN, VPS ...
La sécurité, c'est important !!
pierrotori
Messages : 821
Inscription : 29 févr. 2016, 12:11

Possible spoofing attempt

Message par pierrotori »

Bonjour,
Suite à l'ouverture de ma domotique en https, je vérifie régulièrement mes log afin de comprendre ce qu'il se passe.
Du coup j'ai cette requête qui passe une fois de temps en temps
Error: [web:443]: Unable to determine origin due to improper proxy header(s) (values) being used (Possible spoofing attempt!?), dropping client request (remote address: XXX.XXX.XX.XXX)

Spoofing/usurpation de sites web
Le spoofing/usurpation de sites web, ou parfois l’usurpation d’URL, est une cyberattaque dans laquelle quelqu’un crée un faux site web ou une fausse page web. Ceux-ci sont conçus pour ressembler à une copie exacte d’un site web officiel. L’objectif de l’usurpation de site web est toujours essayer d’extraire des informations confidentielles, comme des identifiants. Les cybercriminels diffusent généralement l’URL de ce site web par les biais de courriels d’hameçonnage.

La requête est unique et donc pas détectée par Fail2ban, mais droppé par domoticz :D .

Est-ce qu'il y aurait d'autres outils/contrôles à mettre en place pour détecter cette attaque même si domoticz le gère bien ?
Est ce qu'il y a des outils pour vérifier/tester la sécurité d'un site ?
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Possible spoofing attempt

Message par lost »

pierrotori a écrit : 05 oct. 2023, 08:25 La requête est unique et donc pas détectée par Fail2ban, mais droppé par domoticz :D .
Est-ce qu'il y aurait d'autres outils/contrôles à mettre en place pour détecter cette attaque même si domoticz le gère bien ?
C'est des tentatives d'accéder à des chemins derrière l'URL qui n'existent pas sur le site web, afin de trouver si des pages ne sont pas cachées ou passeraient au travers du login: Domoticz peut-être ciblé, car cela fut le cas des custom pages jusqu'à une correction il y a qq mois (c'est moi qui avait reporté le pb)... dont la seule protection était en fait le nommage! Problème, certains plugins utilisent des custom pages et c'est alors pas un nom inconnu à trouver par bruteforce mais le même pour tout utilisateur.

Mais comme un FW ne peut pas connaitre l'arborescence valide d'un site web, c'est à mon sens côté serveur qu'il faut bloquer.

Si c'est des tentatives uniques, c'est pas bien grave sur un domoticz stable 2023.2 (ça l'était encore en 2023.1). Pour bloquer ceux qui joueraient trop, il est possible d'ajouter ces 2 lignes au failregex du /etc/fail2ban/filter.d/domoticz.conf (si config en ayant suivi le wiki):

Code : Tout sélectionner

            Error: \[web:8080\]: Unable to determine origin due to improper proxy header\(s\) \(values\) being used \(Possible spoofing attempt!?\), dropping client request \(remote address: <HOST>\)
            Error: \[web:443\]: Unable to determine origin due to improper proxy header\(s\) \(values\) being used \(Possible spoofing attempt!?\), dropping client request \(remote address: <HOST>\)
Pas grand chose de plus à faire a mon sens.
Keros
Messages : 6638
Inscription : 23 juil. 2019, 20:57

Re: Possible spoofing attempt

Message par Keros »

Sujet déplacé dans la section dédiée à Internet.
pierrotori
Messages : 821
Inscription : 29 févr. 2016, 12:11

Possible spoofing attempt

Message par pierrotori »

ils essaient d’accéder avec un nom de page qu’ils mettent aux hasard ?
ou qu’ils arrivent a retrouver a travers l’arborescence du site ?
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Possible spoofing attempt

Message par lost »

Au départ, pour ce que je pensais initialement: Hasard/bruteforce sur un site ne donnant pas accès par défaut, ou tentatives sur chemins connus/vulnérables...

Mais j'avais tords, à regarder le source du serveur: Ici il s'agirait plutôt en fait de parer à des exploitation de faille liée à des bypass de contrôle d'accès basés sur des adresses IP avec des header proxy malformés niveau adresses. D'ou un drop pur et simple sans même renvoi d'un 400 (permettant au mins du fingerprinting).
Dernière modification par Keros le 07 oct. 2023, 18:50, modifié 1 fois.
Raison : Citation supprimée. Merci de ne pas citer le message précédent lors d'une réponse directe.
Répondre