diagnotisc sur la réponse d'un serveur apache

skrill · 21/01/2010, 10h41

Bonjour à tous,

Ma question concerne un soucis par rapport au serveur apache et à la sécurité.

Je cherche à comprendre ce qui a pu se passer pour combler ce que je pense être une faille sur le site dont je m'occupe.

Je développe sur deux sites : le premier est référencer l'autre (le miroir) non il me sert pour faire mes tests online.

J'ai remarqué que le miroir se connectait à la base de donnée du site principal sans que je n'ai rien demandé, ni modifié. grâce à un reboot du serveur apache la bonne base s'affichait ensuite normalement sur le miroir.

Autre constat j'utilise crawltrack pour suivre les visites des bots crawler.
Surprise lorsque j'ai remarqué que les bots ne crawlaient plus que la même url : init/mass_start_stop.cgi.
Cette url n'existe pas sur le ftp, elle est dons redirigé en 404 depuis le début.
J'ai finit pas l'interdire par le biais du robots.txt ce qui fonctionne. Les bots crawleur crawlent maintenant normalement comme avant.

J'ai scanné le site à la recherche de cette url qui n'est présente nulle part.
J'ai regardé dans le fichier httpd.conf d'apache sans succès.

Est-ce une attaque ? tentative de piratage ?
Ou le script qui forcerait les bots crawleur à ne crawler qu'une url inexistante peut-il se situer ?

Je suppose que cela vient d'apache et que le serveur envoi cette information spécifique mais comment ? Et surtout comment détecter et éradiquer ce script.

le site est sur un dédié centOs 5, l'url est autres-talents.fr

Merci d'avance de vos réponses.
Skrill

21/01/2010, 10h41	#1
skrill Invité de passage Inscription : janvier 2010 Messages : 1 Détails du profil Informations forums : Inscription : janvier 2010 Messages : 1 Points : 0 Points : 0	diagnotisc sur la réponse d'un serveur apache Bonjour à tous, Ma question concerne un soucis par rapport au serveur apache et à la sécurité. Je cherche à comprendre ce qui a pu se passer pour combler ce que je pense être une faille sur le site dont je m'occupe. Je développe sur deux sites : le premier est référencer l'autre (le miroir) non il me sert pour faire mes tests online. J'ai remarqué que le miroir se connectait à la base de donnée du site principal sans que je n'ai rien demandé, ni modifié. grâce à un reboot du serveur apache la bonne base s'affichait ensuite normalement sur le miroir. Autre constat j'utilise crawltrack pour suivre les visites des bots crawler. Surprise lorsque j'ai remarqué que les bots ne crawlaient plus que la même url : init/mass_start_stop.cgi. Cette url n'existe pas sur le ftp, elle est dons redirigé en 404 depuis le début. J'ai finit pas l'interdire par le biais du robots.txt ce qui fonctionne. Les bots crawleur crawlent maintenant normalement comme avant. J'ai scanné le site à la recherche de cette url qui n'est présente nulle part. J'ai regardé dans le fichier httpd.conf d'apache sans succès. Est-ce une attaque ? tentative de piratage ? Ou le script qui forcerait les bots crawleur à ne crawler qu'une url inexistante peut-il se situer ? Je suppose que cela vient d'apache et que le serveur envoi cette information spécifique mais comment ? Et surtout comment détecter et éradiquer ce script. le site est sur un dédié centOs 5, l'url est autres-talents.fr Merci d'avance de vos réponses. Skrill
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email