Discussion :

[ngmsky]

Bonjour,
je developpe un site web en local, directement sur ma machine (et non en machine virtuelle).
Pour effectuer des test de connexion à distance de l'exterieur, j'avais ouvers le port 80 et je l'ai redirigé vers mon pc.

Seulement, hier, par curiosité, en vérifiant mes logs, j'ai vu des tentatives de connexion bizard, et venant des ip des payas etranger (canada, etc) alors que je suis en France et en plus je n'ai pas refais de test à de connexion de l'exterieur, il y'a plus de 1 mois.

POur faire simple :
J'ai tout de suite refermer le port 80.

Et maintenant, j'aimerai savoir cequi s'est passé, en detail, si possible.

J'ai une idée mais je ne mis connais pas trop, voila pourquoi j'aimerai vraiment avoir votre analyse.

En fin de compte j'aimerai savoir :

0/ Facultatif : L'explication de ces attaques, mode opératoire, ... tout details possibles

1/ le but de l'attaque (selon les requettes des logs)
2/ si l'attaque à réusssie ou pas (et si oui, que dois-je faire pour supprimer ses eventuel saletés),
3/ Suis-je en danger ? cad si je reouvrais mon port 80, est-ce cette attaque pourrai fonctionner ?

Pour info,
- je travaille sur ubuntu, derniere version LTS (14.04) + apache2, php5.5, mysql ....
- je fais régulièrement les mis à jours du systeme.
- et le firewall est activé.


Voici le fichier /var/log/apache2/access.log

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
200.48.15.70 - - [24/Apr/2015:05:26:47 +0200] "\xdaY'\xac\x97\x03\xf4\xeaXb\x8bs\x19\x02s-\xd7\x92\xd1ETw\xbc\x9f\t\xd8\xfb\xbep~\xb4\x8c\x8c\xd2\x02\x02_\x92\b\xb0\xae\xe6\xbf(\x1c3\xa2\xd0\x13\xef2\xe3\xe8\x98\xe2\x90?\xd3\x0e\x17" 400 300 "-" "-"
200.48.15.70 - - [24/Apr/2015:05:41:40 +0200] "\x90\xfdx~" 501 276 "-" "-"
52.11.4.146 - - [24/Apr/2015:06:59:38 +0200] "GET /muieblackcat HTTP/1.1" 404 467 "-" "-"
52.11.4.146 - - [24/Apr/2015:06:59:38 +0200] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 483 "-" "-"
52.11.4.146 - - [24/Apr/2015:06:59:39 +0200] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 483 "-" "-"
52.11.4.146 - - [24/Apr/2015:06:59:39 +0200] "GET //pma/scripts/setup.php HTTP/1.1" 404 476 "-" "-"
52.11.4.146 - - [24/Apr/2015:06:59:40 +0200] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 480 "-" "-"
52.11.4.146 - - [24/Apr/2015:06:59:40 +0200] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 480 "-" "-"
89.248.171.167 - - [24/Apr/2015:07:29:25 +0200] "GET /admin/bootstrap.inc.php?mgp=danc3Uf@t&c=whoami HTTP/1.0" 404 474 "-" "-"
141.212.122.82 - - [24/Apr/2015:08:27:27 +0200] "GET / HTTP/1.1" 200 11764 "-" "-"
196.21.48.1 - - [24/Apr/2015:08:29:45 +0200] "\xa9\xd3\x92, \x9e\x8e\xa2)9" 400 300 "-" "-"
199.19.249.196 - - [24/Apr/2015:14:02:56 +0200] "GET / HTTP/1.1" 200 11820 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; MS-RTC LM 8; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
74.114.172.190 - - [24/Apr/2015:14:14:20 +0200] "\xaa\v\xf9\xdc\xeb\xde" 400 300 "-" "-"
92.222.220.41 - - [24/Apr/2015:17:34:50 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-"

Et voici le fichier : /var/log/apache2/error.log

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
[Fri Apr 24 05:26:47.181844 2015] [core:error] [pid 2118] [client 200.48.15.70:63158] AH00126: Invalid URI in request \xdaY'\xac\x97\x03\xf4\xeaXb\x8bs\x19\x02s-\xd7\x92\xd1ETw\xbc\x9f\t\xd8\xfb\xbep~\xb4\x8c\x8c\xd2\x02\x02_\x92\b\xb0\xae\xe6\xbf(\x1c3\xa2\xd0\x13\xef2\xe3\xe8\x98\xe2\x90?\xd3\x0e\x17
[Fri Apr 24 05:41:40.797163 2015] [core:error] [pid 5258] [client 200.48.15.70:56371] AH00135: Invalid method in request \x90\xfdx~
[Fri Apr 24 08:29:45.636097 2015] [core:error] [pid 5268] [client 196.21.48.1:25426] AH00126: Invalid URI in request \xa9\xd3\x92, \x9e\x8e\xa2)9
[Fri Apr 24 14:14:20.817194 2015] [core:error] [pid 5268] [client 74.114.172.190:44157] AH00126: Invalid URI in request \xaa\v\xf9\xdc\xeb\xde

Et aussi,

4/ pourquoi le fichier error.log ne contient pas les traces des requettes commençant par "GET ..." mais uniquement des erreurs pour les requettes du genre : \xaa\v\xf9\x ... ?

5/ Et y'a t-il un moyen de détecter "automatiquement" ce genre d'attaques et d'être alerter (par mail, ou sms par exemple ?). car j'imagine que si je n'ai pas été curieux et que l'attaque avait réussie, j'aurai pu le decouvrir après plusieurs mois vers quelques années ! Ce qui est grave.


Merci d'avance pour vos analyse et propositions de solutions.

A bientôt

[dsy]

Salut

2/ si l'attaque à réusssie ou pas (et si oui, que dois-je faire pour supprimer ses eventuel saletés),
Toutes les requêtes sauf deux ont échouées. Les deux requêtes sans erreur ont affiché la page d'accueil.
A priori, les "attaques" n'ont pas réussi.

3/ Suis-je en danger ? cad si je reouvrais mon port 80, est-ce cette attaque pourrai fonctionner ?
Non tant que tu continues à mettre à jour ton serveur.
Par contre vu que tu développes un site web et que tu as une base de données, tu pourrais avoir des injections SQL. Cela dépend de ton code.

[ngmsky]

Bonsoir,
merci dsy, pour ta réponse, qui confirme aussi ce que je pensais. Maintenant au moins, je suis en paix.

Sinon, si quelqu’un d'autres peut-il répondre aux questions 0, 1, 4 et 5/ ça sera toujours un plus.

Merci encore à tous les intervenants.

[dsy]

5/ Et y'a t-il un moyen de détecter "automatiquement" ce genre d'attaques et d'être alerter

Oui avec un IDS : http://fr.wikipedia.org/wiki/Syst%C3..._d%27intrusion
Le plus connu étant Snort.

[ngmsky]

Bonsoir,

Merci infiniment dsy pour tes explications et pour le lien.
Je pense que les IDS sont vraiment indispensable pour un seveur.
Je vais les etudier car je pense que je finirai par l'installer sur mon serveur (s'il faut que j'en prenne un).

Par contre, d'apres wikipedia, les IDS hybride seraient mieux que les HIDS (pour un host) ou NIDS (pour le réseau).

Saurais-tu celui qui serait mieux entre Prelude et OSSIM ? (selon ton expérience)

Si je comprends bien, pour utiliser un IDS hybride, il faut forcement installer :
- un IDS hybride
- un NIDS (exemple : Snort)
- un ou plusieurs HIDS ( par exemple : AIDE ou Tripwire + Chkrootkit )

C'est bien ça ?

En tout cas merci encore pour tout.

[dsy]

Désolé je ne peux te conseiller un outil. Mais tu devrais commencer par le plus simple pour évoluer ensuite si besoin.

[cavo789]

Bonjour

Je suis un poil trop tard : mon application (voir ma signature) est un pare-feu logiciel (un WAF) et elle permet de contrer et d'identifier ces attaques.

De ce que j'ai vu, les attaques (en fait, les requêtes), sont en 404 et donc aucune n'a réussie.

Bonne soirée.