Pages : 1
#1 Le 27/01/2013, à 11:21
- BarthVador
Apache - Logs inquiétant ?
Bonjour,
J'ai un serveur apache personnel hébergé chez moi, et en regardant les fichiers de logs, j'ai remarqué quelques lignes qui m’inquiète !!!
Voici les lignes en questions :
175.45.56.230 - - [26/Jan/2013:05:46:57 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:35 +0100] "GET /admin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:36 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:36 +0100] "GET /phpMyAdmin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:37 +0100] "GET /db/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:37 +0100] "GET /PMA/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:38 +0100] "GET /pma/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:39 +0100] "GET /admin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:39 +0100] "GET /mysql/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:40 +0100] "GET /myadmin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:40 +0100] "GET /phpadmin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:41 +0100] "GET /webadmin/main.php HTTP/1.0" 404 518 "-" "-"
Est ce que j'ai raison de m'inquiéter ?
Est ce qu'il y a quelque chose à faire dans les fichiers de configuration d'apache ?
Les codes d’erreur (404 et 400) me font penser que la personne n'a pas sus faire grand chose, mais je suis de nature trop méfiant...
Si quelqu'un a des réponses à m'apporter, j'en serai ravi !!!
PS : J'ai temporairement déconnecté mon serveur en attendant d'y voir plus claire...
Hors ligne
#2 Le 27/01/2013, à 11:52
- tiramiseb
Re : Apache - Logs inquiétant ?
C'est classique, ça.
C'est des tentatives de piratage, en l'occurrence avec le "scanner de failles" DFind.
(La première ligne c'est sa signature, il est gentil de signer je trouve...
Comme tu peux le voir, il teste l'accès à PHPMyAdmin sur de nombreuses adresses.
Si tu n'utilises pas PHPMyAdmin, alors aucune inquiétude à avoir !
Si tu utilises PHPMyAdmin, fais bien gaffe à toujours utiliser la toute dernière version, sinon tu es susceptible d'avoir des failles de sécurité, qu'un tel "scanner" est capable de détecter et d'exploiter.
De manière générale, veille à conserver des versions à jour de tous les applicatifs (outils, frameworks, etc) que tu utilises...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 27/01/2013, à 12:06
- BarthVador
Re : Apache - Logs inquiétant ?
Merci de votre réponse.
Donc si je comprend bien, j'ai pas trop d'inquiétude à avoir ?
Est ce que ça signature est exploitable (pour remonter jusqu'à lui, ou savoir d'où il vient) ? Car je crois qu'il utilise un proxi (selon internet, l'adresse ip vient de Hong Kong...)
Hors ligne
#4 Le 27/01/2013, à 12:24
- BarthVador
Re : Apache - Logs inquiétant ?
J'ai trouvé ceci en fouinant un peut sur ixquick...
Ils disent de simplement ajouter une règle dans l'iptable :
iptables -I INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 80 -m string --to 70 \
--algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
Est ce que la solution évoqué est efficace ?
Et quand ils disent de remplacer xxx.xxx.xxx.xxx par l'IP du serveur, je suppose que c'est l'IP local ?
Hors ligne
#5 Le 27/01/2013, à 12:38
- src
Re : Apache - Logs inquiétant ?
As-tu essayé fail2ban ?
Actuellement sur Manjaro Xfce (amd64)
Hors ligne
#6 Le 27/01/2013, à 12:44
- tiramiseb
Re : Apache - Logs inquiétant ?
Ça empêcherait la ligne "w00tw00t.at. machin truc" d'apparaître dans les logs. Mais ça n'empêcherait rien d'autre, notamment pas d'essayer d'accéder à des truc qui ne seraient pas correctement sécurisés...
La façon difficile de t'assurer que tu n'aurais pas de problème c'est de maintenir tes diverses applications à jour et d'utiliser des mots de passe sécurisés, et si tu programmes quelque chose de bien programmer
La façon facile, c'est d'éteindre ton serveur
PS: fail2ban ne permet pas de s'affranchir de maintenir ton serveur à jour et sécurisé. Ça permet d'empêcher à quelqu'un qui a déjà essayé de revenir, mais si tu avais une faille c'est déjà trop tard
Dernière modification par tiramiseb (Le 27/01/2013, à 12:46)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#7 Le 27/01/2013, à 12:45
- BarthVador
Re : Apache - Logs inquiétant ?
D'après ce que j'ai compris, fail2ban agit après coût et banni l'IP, qui risque de changer, donc pas très utile dans ce cas ci...
Mais j'ai remis mon serveur en route et je tient les logs à l'oeuille...
Et comme je n'utilise pas PHPMyAdmin, je pense que je me suis inquiété pour rien...
Hors ligne
#8 Le 27/01/2013, à 12:48
- Pseudo supprimé
Re : Apache - Logs inquiétant ?
Est ce qu'il y a quelque chose à faire dans les fichiers de configuration d'apache ?
a/ Eviter les adresses trop prévisibles genre http:... /phpmyadmin
Alias /badaboum-pouet-pouet /usr/share/phpmyadmin
http:... /badaboum-pouet-pouet
b/ https si possible
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/badaboum-pouet-pouet/index.php [NC,R,L]
c/ fail2ban
d/ interdire les user-agents indélicats, lorsque les attaques sont signées
par rewritecond ou setenvif
SetEnvIfNoCase User-Agent "Zeus" bad_bot
...
Deny from env=bad_bot
e/ iptables
#9 Le 27/01/2013, à 13:50
- BarthVador
Re : Apache - Logs inquiétant ?
Merci beaucoup de vos réponses,
Je vais essayer de mettre en œuvre vos recommandation...
Dernière question :
Est-ce qu'il y a un moyen de vérifier que mon serveur n'ai pas de failles ?
Bon dimanche à tous
Hors ligne
#10 Le 27/01/2013, à 14:14
- Haleth
Re : Apache - Logs inquiétant ?
Est-ce qu'il y a un moyen de vérifier que mon serveur n'ai pas de failles ?
Non
Trop facile sinon..
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#11 Le 27/01/2013, à 14:19
- Braun
Re : Apache - Logs inquiétant ?
Est-ce qu'il y a un moyen de vérifier que mon serveur n'ai pas de failles ?
"pas", tu ne seras jamais parfaitement certain, mais il t'est peut-être possible d'utiliser à ton propre compte des logiciels comme dfind pour tester ta vulnérabilité.
Hors ligne
Pages : 1