Une seule compromission sur un serveur web peut le transformer en vecteur d’attaque : envoi massif de spam, botnets, et c’est le blacklisting de votre IP assuré. Il faut donc détecter rapidement les premiers signes pour réagir vite et réduire l’impact négatif.
Les experts en sécurité sont réalistes et unanimes : sur une durée suffisamment longue, tout service finira piraté. Faille 0 day, erreur technique, attaque suffisamment longue… La sécurité à 100% n’est pas de ce monde.
Alors la bonne approche, en plus de se rapprocher des 0% de risque par des mesures de sécurité préventives, consiste à surveiller en continu la réputation de ses IP, de sorte à réagir dès le premier signe d’incident pour limiter la surface d’attaque et éviter que les blacklists ne s’emballent.
Info: Qu’est-ce qu’une blacklist IP ?
Une “blacklist” d’IP (liste de blocage) est un registre d’adresses IP réputées malveillantes ou indésirables (spam, attaques, fraude) que les systèmes consultent pour refuser ou limiter l’accès. Elle est utilisée par des pare-feu, serveurs de messagerie et sites web, mais peut aussi produire des faux positifs ; les entrées évoluent et peuvent être retirées après vérification.
Dans cet article, nous allons voir comment mettre en place un système d’alerte basé sur deux solutions gratuites :
- Uptime Kuma, un outil libre de monitoring, hébergé sur votre propre machine ou un VPS ;
- AbuseIPDB, base de données collaborative d’adresses IP signalées.
Cette prévention adaptée est employée pour l’infrastructure d’hébergement web LRob et devrait vous être utile, si vous hébergez également des services. Nous rappelons que l’état en temps réel de l’infratructure LRob, y compris la présence éventuelle dans la blacklist AbuseIPDB, est consultable publiquement : https://uptime.lrob.net/status/lrob.
Cet article vous guidera étape par étape, comment reproduire cette configuration chez vous.
⚠️ Vos serveurs vous coûtent trop cher et trop de temps ? Ne manquez pas nos offres d’hébergement multi-sites, qui vous feront gagner un temps et une sécurité considérables, tout en faisant des économies et en bénéficiant d’un support exceptionnel ! Existe aussi en hébergement pour un seul site.
Pourquoi surveiller la réputation de son IP ?
Mieux vaut agir dès les premiers signes d’un problème que d’attendre qu’il soit trop tard.
Si une boîte mail est compromise ou qu’un site présente une faille, votre serveur peut rapidement devenir un vecteur d’attaque, par exemple pour envoyer des millions de spams en quelques minutes.
LRob applique déjà des protections efficaces, comme un anti-bruteforce sur les emails et une limite d’envoi horaire, pour limiter ce genre de dégâts. Mais quelles que soient les mesures, une surveillance proactive de la réputation d’une IP permet de détecter rapidement toute éventuelle anomalie, et d’agir avant que la situation ne devienne gênante.
Car les listes d’abus (blacklists) informent publiquement de la malveillance de vos IP. Et si votre IP est blacklistée, les prestataires bloquent souvent les emails, restreignent l’accès à certains services et nuisent globalement à la confiance accordée à un serveur ou à un site.
Alors le but du jeu est le suivant : Ne pas être une victime des blacklists, mais s’en servir comme d’un indicateur fiable pour repérer un comportement suspect sur une machine, même en dehors d’une attaque active. Car les attaques peuvent être brèves ou très discrètes. Ceux qui les reçoivent en revanche, ne peuvent pas les louper.
Et pour cela, avec un suivi régulier, on peut identifier immédiatement toute hausse du score d’abus et intervenir avant que les conséquences ne deviennent coûteuses. Il s’agit au final d’une mesure à moitié préventive, et à moitié curative. Ou autrement dit, on évite le pire.
Ce qu’il faut avant de commencer
Avant de mettre en place cette surveillance, il faut disposer :
- d’un accès (gratuit ou payant) à l’API AbuseIPDB
- d’une instance Uptime Kuma fonctionnelle, installée sur une VM locale, un VPS ou tout autre serveur accessible en permanence.
Uptime Kuma sera configuré pour query (interroger) automatiquement l’API AbuseIPDB, récupérer le score d’abus de votre IP, et vérifier s’il reste inférieur ou égal à un seuil fixé (par exemple 5%).
Si ce score dépasse la limite choisie, vous recevrez une alerte pour intervenir rapidement.
Ce tutoriel se base uniquement sur AbuseIPDB comme source de réputation, ce qui est déjà très fiable pour un usage courant.
Configuration pas à pas dans Uptime Kuma
L’objectif est de créer un moniteur qui va contrôler régulièrement le score d’abus de votre IP sur AbuseIPDB, et vous alerter si ce score dépasse un seuil fixé. Nous allons pour cela exploiter une expression JSON qui permet de retourner true ou false en fonction du résultat de la vérification. True : tout va bien. False : vous recevez l’alerte.
1. Créer un nouveau moniteur de base
Dans l’interface Uptime Kuma :
Cliquez sur “Ajouter un moniteur”
Type de moniteur : HTTP(s) - Json Query
Nom d’affichage (Friendly Name), par exemple :AbuseIPDB HOSTNAME IP
(remplacez HOSTNAME et IP par vos valeurs)
- Heartbeat Interval : ajustez selon la fréquence souhaitée (ex. toutes les 3600 secondes, soit 1h).
- Retries : 0
2. Réglages de base de l’API AbuseIPDB du moniteur
- URL :
https://api.abuseipdb.com/api/v2/check - Json Query :
$number($.data.abuseConfidenceScore) <= 5- (remplacez
5par votre seuil de tolérance, il correspond au pourcentage de risque sur AbuseIPDB)
- (remplacez
- Expected Value :
true
💡 Cette expression retourne true si le score est inférieur ou égal à votre seuil, et false sinon. Uptime Kuma déclenche alors une alerte selon votre réglage de notifications, uniquement si le résultat est false.
3. Configurer les options HTTP de l’API AbuseIPDB
Dans HTTP Options :
- Method :
GET - Body Encoding :
JSON
Dans Body, définissez ce code en remplaçant Your_IP par l’IP à monitorer :
{
"ipAddress": "Your_IP",
"maxAgeInDays": "1",
"verbose": "true"
}Dans Headers, mettez votre clé API à la place de Your_API_Key :
{
"Key": "Your_API_Key",
"Accept": "application/json"
}
4. Vérifier la configuration finale
Vous devriez obtenir une configuration similaire :
5. Sauvegarder et tester
Une fois les paramètres définis, cliquez sur Save (Enregistrer) puis observez le premier test :
- Si le score est en dessous du seuil → moniteur UP
- Si le score dépasse le seuil → moniteur DOWN et alerte envoyée
Avec ce réglage, vous saurez immédiatement si la réputation de votre IP se dégrade.
Par exemple :
- Score 0 → tout va bien
- Score 4 → encore acceptable
- Score 12 → alerte
Un mot sur l’astuce du seuil de détection en JSON
Chez LRob, il y a presque 1 an, à l’accueil d’un client dont le site était à réparer suite à un hack, son site a été exploité pendant la réparation sur nos serveurs. Unique occurrence d’utilisation malveillante sur les serveurs LRob. Cela nous a permis de découvrir AbuseIPDB avec un grand enthousiasme puisque nous cherchions justement un tel outil.
Un bref incident, soldé d’une touche positive, me direz-vous.
Sauf que depuis cet incident, un contributeur AbuseIPDB continue de report l’IP du serveur chaque semaine, alors que l’incident est terminé depuis presque 1 an. Et il n’y a aucun moyen de l’empêcher. Dès qu’il émet ne serait-ce qu’un seul report, le score de l’IP remonte à 4% de risque.
Or, à la base, Uptime Kuma ne permet que de vérifier si Expected Value = 0.
Autrement dit, un risque à 1% ou 4% déclenchait l’alertE. Donc ce serveur était tout le temps en alerte.
Un faux positif.
La solution propre : évaluer un seuil directement dans la Json Query grâce à une expression JSONata. Plutôt que d’attendre la valeur exacte “0”, Uptime Kuma vérifie désormais que le score est inférieur ou égal à une limite jugée saine (par exemple 5) ; et retourne true ou false. Désormais, l’état ne passe en alerte que si le score dépasse la valeur.
C’est le principe de ce code, qui vérifie si la valeur en question est bien inférieure ou égale à 5.
$number($.data.abuseConfidenceScore) <= 5Uptime Kuma attend la valeur true en retour. Si le seuil est inférieur à 5, pas d’alerte. Si ça dépasse, alerte.
Cette correction de config vient tout juste d’être appliquée, donc si vous visitez l’état des serveurs dans les 24h suivant la publication de cet article, vous verrez que « Blacklists » n’est pas à 100% d’uptime, contrairement à tous les autres services. Vous avez désormais toute l’histoire.
Conclusion
On espère que la configuration utilisée pour l’infrastructure d’hébergement web LRob vous aidera à mieux sécuriser vos serveurs, pour nous aider faire un meilleur internet.
Et si vous pensez que cela était fort intéressant, dites-vous que ce n’est que la pointe de l’iceberg de ce que LRob met en oeuvre pour assurer un service d’exception !
Nous sommes convaincus que LRob mérite d’être davantage connu.
Alors faites un tour sur le site, lisez ce qu’on a à dire, regardez les offres, essayez notre Chatbot maison, et n’hésitez pas à partager ce que vous trouvez intéressant sur tous vos réseaux, cela nous soutiendra notre mission pour un internet propre !
Merci pour votre lecture et pour votre soutien.
Laisser un commentaire