Bonjour,
je developpe un site web en local, directement sur ma machine (et non en machine virtuelle).
Pour effectuer des test de connexion à distance de l'exterieur, j'avais ouvers le port 80 et je l'ai redirigé vers mon pc.
Seulement, hier, par curiosité, en vérifiant mes logs, j'ai vu des tentatives de connexion bizard, et venant des ip des payas etranger (canada, etc) alors que je suis en France et en plus je n'ai pas refais de test à de connexion de l'exterieur, il y'a plus de 1 mois.
POur faire simple :
J'ai tout de suite refermer le port 80.
Et maintenant, j'aimerai savoir cequi s'est passé, en detail, si possible.
J'ai une idée mais je ne mis connais pas trop, voila pourquoi j'aimerai vraiment avoir votre analyse.
En fin de compte j'aimerai savoir :
0/ Facultatif : L'explication de ces attaques, mode opératoire, ... tout details possibles
1/ le but de l'attaque (selon les requettes des logs)
2/ si l'attaque à réusssie ou pas (et si oui, que dois-je faire pour supprimer ses eventuel saletés),
3/ Suis-je en danger ? cad si je reouvrais mon port 80, est-ce cette attaque pourrai fonctionner ?
Pour info,
- je travaille sur ubuntu, derniere version LTS (14.04) + apache2, php5.5, mysql ....
- je fais régulièrement les mis à jours du systeme.
- et le firewall est activé.
Voici le fichier /var/log/apache2/access.log
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14 200.48.15.70 - - [24/Apr/2015:05:26:47 +0200] "\xdaY'\xac\x97\x03\xf4\xeaXb\x8bs\x19\x02s-\xd7\x92\xd1ETw\xbc\x9f\t\xd8\xfb\xbep~\xb4\x8c\x8c\xd2\x02\x02_\x92\b\xb0\xae\xe6\xbf(\x1c3\xa2\xd0\x13\xef2\xe3\xe8\x98\xe2\x90?\xd3\x0e\x17" 400 300 "-" "-" 200.48.15.70 - - [24/Apr/2015:05:41:40 +0200] "\x90\xfdx~" 501 276 "-" "-" 52.11.4.146 - - [24/Apr/2015:06:59:38 +0200] "GET /muieblackcat HTTP/1.1" 404 467 "-" "-" 52.11.4.146 - - [24/Apr/2015:06:59:38 +0200] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 483 "-" "-" 52.11.4.146 - - [24/Apr/2015:06:59:39 +0200] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 483 "-" "-" 52.11.4.146 - - [24/Apr/2015:06:59:39 +0200] "GET //pma/scripts/setup.php HTTP/1.1" 404 476 "-" "-" 52.11.4.146 - - [24/Apr/2015:06:59:40 +0200] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 480 "-" "-" 52.11.4.146 - - [24/Apr/2015:06:59:40 +0200] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 480 "-" "-" 89.248.171.167 - - [24/Apr/2015:07:29:25 +0200] "GET /admin/bootstrap.inc.php?mgp=danc3Uf@t&c=whoami HTTP/1.0" 404 474 "-" "-" 141.212.122.82 - - [24/Apr/2015:08:27:27 +0200] "GET / HTTP/1.1" 200 11764 "-" "-" 196.21.48.1 - - [24/Apr/2015:08:29:45 +0200] "\xa9\xd3\x92, \x9e\x8e\xa2)9" 400 300 "-" "-" 199.19.249.196 - - [24/Apr/2015:14:02:56 +0200] "GET / HTTP/1.1" 200 11820 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; MS-RTC LM 8; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" 74.114.172.190 - - [24/Apr/2015:14:14:20 +0200] "\xaa\v\xf9\xdc\xeb\xde" 400 300 "-" "-" 92.222.220.41 - - [24/Apr/2015:17:34:50 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-"
Et voici le fichier : /var/log/apache2/error.log
Et aussi,
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4 [Fri Apr 24 05:26:47.181844 2015] [core:error] [pid 2118] [client 200.48.15.70:63158] AH00126: Invalid URI in request \xdaY'\xac\x97\x03\xf4\xeaXb\x8bs\x19\x02s-\xd7\x92\xd1ETw\xbc\x9f\t\xd8\xfb\xbep~\xb4\x8c\x8c\xd2\x02\x02_\x92\b\xb0\xae\xe6\xbf(\x1c3\xa2\xd0\x13\xef2\xe3\xe8\x98\xe2\x90?\xd3\x0e\x17 [Fri Apr 24 05:41:40.797163 2015] [core:error] [pid 5258] [client 200.48.15.70:56371] AH00135: Invalid method in request \x90\xfdx~ [Fri Apr 24 08:29:45.636097 2015] [core:error] [pid 5268] [client 196.21.48.1:25426] AH00126: Invalid URI in request \xa9\xd3\x92, \x9e\x8e\xa2)9 [Fri Apr 24 14:14:20.817194 2015] [core:error] [pid 5268] [client 74.114.172.190:44157] AH00126: Invalid URI in request \xaa\v\xf9\xdc\xeb\xde
4/ pourquoi le fichier error.log ne contient pas les traces des requettes commençant par "GET ..." mais uniquement des erreurs pour les requettes du genre : \xaa\v\xf9\x ... ?
5/ Et y'a t-il un moyen de détecter "automatiquement" ce genre d'attaques et d'être alerter (par mail, ou sms par exemple ?). car j'imagine que si je n'ai pas été curieux et que l'attaque avait réussie, j'aurai pu le decouvrir après plusieurs mois vers quelques années ! Ce qui est grave.
Merci d'avance pour vos analyse et propositions de solutions.
A bientôt
Partager