Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

Attention, une faille de sécurité dans bash a récemment été rapportée, il est recommandé de mettre à jour son système (plus de détails) *** mise à jour 12/10/2014 ***

#1 Le 27/01/2013, à 11:21

BarthVador

Apache - Logs inquiétant ?

Bonjour,
J'ai un serveur apache personnel hébergé chez moi, et en regardant les fichiers de logs, j'ai remarqué quelques lignes qui m’inquiète !!!
Voici les lignes en questions :

175.45.56.230 - - [26/Jan/2013:05:46:57 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:35 +0100] "GET /admin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:36 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:36 +0100] "GET /phpMyAdmin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:37 +0100] "GET /db/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:37 +0100] "GET /PMA/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:38 +0100] "GET /pma/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:39 +0100] "GET /admin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:39 +0100] "GET /mysql/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:40 +0100] "GET /myadmin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:40 +0100] "GET /phpadmin/main.php HTTP/1.0" 404 518 "-" "-"
175.45.56.230 - - [26/Jan/2013:05:51:41 +0100] "GET /webadmin/main.php HTTP/1.0" 404 518 "-" "-"

Est ce que j'ai raison de m'inquiéter ?
Est ce qu'il y a quelque chose à faire dans les fichiers de configuration d'apache ?
Les codes d’erreur (404 et 400) me font penser que la personne n'a pas sus faire grand chose, mais je suis de nature trop méfiant...
Si quelqu'un a des réponses à m'apporter, j'en serai ravi !!!

PS : J'ai temporairement déconnecté mon serveur en attendant d'y voir plus claire...

Hors ligne

#2 Le 27/01/2013, à 11:52

tiramiseb

Re : Apache - Logs inquiétant ?

C'est classique, ça.

C'est des tentatives de piratage, en l'occurrence avec le "scanner de failles" DFind.
(La première ligne c'est sa signature, il est gentil de signer je trouve...

Comme tu peux le voir, il teste l'accès à PHPMyAdmin sur de nombreuses adresses.

Si tu n'utilises pas PHPMyAdmin, alors aucune inquiétude à avoir !
Si tu utilises PHPMyAdmin, fais bien gaffe à toujours utiliser la toute dernière version, sinon tu es susceptible d'avoir des failles de sécurité, qu'un tel "scanner" est capable de détecter et d'exploiter.

De manière générale, veille à conserver des versions à jour de tous les applicatifs (outils, frameworks, etc) que tu utilises...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#3 Le 27/01/2013, à 12:06

BarthVador

Re : Apache - Logs inquiétant ?

Merci de votre réponse.
Donc si je comprend bien, j'ai pas trop d'inquiétude à avoir ?
Est ce que ça signature est exploitable (pour remonter jusqu'à lui, ou savoir d'où il vient) ? Car je crois qu'il utilise un proxi (selon internet, l'adresse ip vient de Hong Kong...)

Hors ligne

#4 Le 27/01/2013, à 12:24

BarthVador

Re : Apache - Logs inquiétant ?

J'ai trouvé ceci en fouinant un peut sur ixquick...
Ils disent de simplement ajouter une règle dans l'iptable :

iptables -I INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 80 -m string --to 70 \
 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

Est ce que la solution évoqué est efficace ?
Et quand ils disent de remplacer xxx.xxx.xxx.xxx par l'IP du serveur, je suppose que c'est l'IP local ?

Hors ligne

#5 Le 27/01/2013, à 12:38

src

Re : Apache - Logs inquiétant ?

As-tu essayé fail2ban ?


Actuellement sur Manjaro Xfce (amd64)
Serveur sur Debian Wheezy + LXC + YunoHost.
http://maniatux.fr

Hors ligne

#6 Le 27/01/2013, à 12:44

tiramiseb

Re : Apache - Logs inquiétant ?

Ça empêcherait la ligne "w00tw00t.at. machin truc" d'apparaître dans les logs. Mais ça n'empêcherait rien d'autre, notamment pas d'essayer d'accéder à des truc qui ne seraient pas correctement sécurisés...

La façon difficile de t'assurer que tu n'aurais pas de problème c'est de maintenir tes diverses applications à jour et d'utiliser des mots de passe sécurisés, et si tu programmes quelque chose de bien programmer smile

La façon facile, c'est d'éteindre ton serveur lol


PS: fail2ban ne permet pas de s'affranchir de maintenir ton serveur à jour et sécurisé. Ça permet d'empêcher à quelqu'un qui a déjà essayé de revenir, mais si tu avais une faille c'est déjà trop tard smile

Dernière modification par tiramiseb (Le 27/01/2013, à 12:46)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#7 Le 27/01/2013, à 12:45

BarthVador

Re : Apache - Logs inquiétant ?

D'après ce que j'ai compris, fail2ban agit après coût et banni l'IP, qui risque de changer, donc pas très utile dans ce cas ci...
Mais j'ai remis mon serveur en route et je tient les logs à l'oeuille...
Et comme je n'utilise pas PHPMyAdmin, je pense que je me suis inquiété pour rien...

Hors ligne

#8 Le 27/01/2013, à 12:48

Titouan

Re : Apache - Logs inquiétant ?

Est ce qu'il y a quelque chose à faire dans les fichiers de configuration d'apache ?

a/ Eviter les adresses trop prévisibles genre http:... /phpmyadmin

Alias /badaboum-pouet-pouet  /usr/share/phpmyadmin

http:... /badaboum-pouet-pouet

b/ https si possible

	RewriteEngine on
	RewriteCond %{HTTPS} off
	RewriteRule (.*) https://%{HTTP_HOST}/badaboum-pouet-pouet/index.php [NC,R,L]

c/ fail2ban

d/ interdire les user-agents indélicats, lorsque les attaques sont signées
par rewritecond ou  setenvif

SetEnvIfNoCase User-Agent "Zeus" bad_bot
...
Deny from env=bad_bot 

e/ iptables

Hors ligne

#9 Le 27/01/2013, à 13:50

BarthVador

Re : Apache - Logs inquiétant ?

Merci beaucoup de vos réponses,
Je vais essayer de mettre en œuvre vos recommandation...
Dernière question :
Est-ce qu'il y a un moyen de vérifier que mon serveur n'ai pas de failles ?

Bon dimanche à tous

Hors ligne

#10 Le 27/01/2013, à 14:14

Haleth

Re : Apache - Logs inquiétant ?

Est-ce qu'il y a un moyen de vérifier que mon serveur n'ai pas de failles ?

Non
Trop facile sinon..


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

En ligne

#11 Le 27/01/2013, à 14:19

Braun

Re : Apache - Logs inquiétant ?

BarthVador a écrit :

Est-ce qu'il y a un moyen de vérifier que mon serveur n'ai pas de failles ?

"pas",  tu ne seras jamais parfaitement certain, mais il t'est peut-être possible d'utiliser à ton propre compte des logiciels comme dfind pour tester ta vulnérabilité.

Hors ligne

Haut de page ↑