IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Probleme Abuse sur serveur dedié LInux


Sujet :

Sécurité

  1. #1
    Nouveau Candidat au Club
    Profil pro
    Inscrit en
    Septembre 2007
    Messages
    1
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2007
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Probleme Abuse sur serveur dedié LInux
    Bonjour,

    un abuse a été reporté a mon hebergeur par un autre utilisateur du reseau (online.net).

    Apparemment mon serveur a envoyé des requetes non desirées, voici le log fourni par le serveur attaqué, je dispose de 48h pour regler le pb.

    Quelqu'un a une piste svp ?

    88.191.63.134 - - [25/Aug/2010:05:05:09 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:09 +0200] "GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 403 236
    88.191.63.134 - - [25/Aug/2010:05:05:09 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 403 225
    88.191.63.134 - - [25/Aug/2010:05:05:10 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:10 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 403 229
    88.191.63.134 - - [25/Aug/2010:05:05:10 +0200] "GET /dbadmin/scripts/setup.php HTTP/1.1" 403 227
    88.191.63.134 - - [25/Aug/2010:05:05:10 +0200] "POST /admin/pma/scripts/setup.php HTTP/1.1" 403 229
    88.191.63.134 - - [25/Aug/2010:05:05:10 +0200] "POST /dbadmin/scripts/setup.php HTTP/1.1" 403 227
    88.191.63.134 - - [25/Aug/2010:05:05:10 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 403 227
    88.191.63.134 - - [25/Aug/2010:05:05:11 +0200] "POST /myadmin/scripts/setup.php HTTP/1.1" 403 227
    88.191.63.134 - - [25/Aug/2010:05:05:13 +0200] "GET /scripts/setup.php HTTP/1.1" 403 219
    88.191.63.134 - - [25/Aug/2010:05:05:13 +0200] "GET /mysql-admin/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:13 +0200] "POST /scripts/setup.php HTTP/1.1" 403 219
    88.191.63.134 - - [25/Aug/2010:05:05:13 +0200] "POST /mysql-admin/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:13 +0200] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:13 +0200] "POST /mysqladmin/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:14 +0200] "GET /db/scripts/setup.php HTTP/1.1" 403 222
    88.191.63.134 - - [25/Aug/2010:05:05:14 +0200] "GET /php-myadmin/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:14 +0200] "POST /db/scripts/setup.php HTTP/1.1" 403 222
    88.191.63.134 - - [25/Aug/2010:05:05:14 +0200] "POST /php-myadmin/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:14 +0200] "GET /mysqlmanager/scripts/setup.php HTTP/1.1" 403 232
    88.191.63.134 - - [25/Aug/2010:05:05:15 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 403 225
    88.191.63.134 - - [25/Aug/2010:05:05:15 +0200] "GET /php-my-admin/scripts/setup.php HTTP/1.1" 403 232
    88.191.63.134 - - [25/Aug/2010:05:05:15 +0200] "POST /mysql/scripts/setup.php HTTP/1.1" 403 225
    88.191.63.134 - - [25/Aug/2010:05:05:15 +0200] "POST /phpmyadmin/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:15 +0200] "POST /mysqlmanager/scripts/setup.php HTTP/1.1" 403 232
    88.191.63.134 - - [25/Aug/2010:05:05:15 +0200] "POST /admin/scripts/setup.php HTTP/1.1" 403 225
    88.191.63.134 - - [25/Aug/2010:05:05:16 +0200] "GET /phpMyAdmin-2/scripts/setup.php HTTP/1.1" 403 232
    88.191.63.134 - - [25/Aug/2010:05:05:16 +0200] "POST /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:16 +0200] "POST /phpMyAdmin-2/scripts/setup.php HTTP/1.1" 403 232
    88.191.63.134 - - [25/Aug/2010:05:05:16 +0200] "POST /php-my-admin/scripts/setup.php HTTP/1.1" 403 232
    88.191.63.134 - - [25/Aug/2010:05:05:16 +0200] "POST /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 403 236
    88.191.63.134 - - [25/Aug/2010:05:05:17 +0200] "GET /sqlmanager/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:17 +0200] "GET /sql/scripts/setup.php HTTP/1.1" 403 223
    88.191.63.134 - - [25/Aug/2010:05:05:17 +0200] "GET /phpmy-admin/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:17 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 403 223
    88.191.63.134 - - [25/Aug/2010:05:05:18 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 403 228
    88.191.63.134 - - [25/Aug/2010:05:05:18 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:18 +0200] "GET /phpmanager/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:18 +0200] "POST /phpmy-admin/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:18 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 403 236
    88.191.63.134 - - [25/Aug/2010:05:05:18 +0200] "POST /sql/scripts/setup.php HTTP/1.1" 403 223
    88.191.63.134 - - [25/Aug/2010:05:05:18 +0200] "POST /pma/scripts/setup.php HTTP/1.1" 403 223
    88.191.63.134 - - [25/Aug/2010:05:05:19 +0200] "GET /websql/scripts/setup.php HTTP/1.1" 403 226
    88.191.63.134 - - [25/Aug/2010:05:05:19 +0200] "POST /websql/scripts/setup.php HTTP/1.1" 403 226
    88.191.63.134 - - [25/Aug/2010:05:05:19 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:19 +0200] "GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1" 403 234
    88.191.63.134 - - [25/Aug/2010:05:05:19 +0200] "GET /web/scripts/setup.php HTTP/1.1" 403 223
    88.191.63.134 - - [25/Aug/2010:05:05:19 +0200] "POST /phpmyadmin1/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:19 +0200] "POST /web/phpMyAdmin/scripts/setup.php HTTP/1.1" 403 234
    88.191.63.134 - - [25/Aug/2010:05:05:19 +0200] "POST /phpadmin/scripts/setup.php HTTP/1.1" 403 228
    88.191.63.134 - - [25/Aug/2010:05:05:20 +0200] "POST /phpmanager/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:20 +0200] "POST /web/scripts/setup.php HTTP/1.1" 403 223
    88.191.63.134 - - [25/Aug/2010:05:05:20 +0200] "POST /phpmyadmin2/scripts/setup.php HTTP/1.1" 403 231
    88.191.63.134 - - [25/Aug/2010:05:05:21 +0200] "GET /sqlweb/scripts/setup.php HTTP/1.1" 403 226
    88.191.63.134 - - [25/Aug/2010:05:05:21 +0200] "GET /webadmin/scripts/setup.php HTTP/1.1" 403 228
    88.191.63.134 - - [25/Aug/2010:05:05:21 +0200] "POST /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 403 236
    88.191.63.134 - - [25/Aug/2010:05:05:21 +0200] "POST /webadmin/scripts/setup.php HTTP/1.1" 403 228
    88.191.63.134 - - [25/Aug/2010:05:05:21 +0200] "GET /webdb/scripts/setup.php HTTP/1.1" 403 225
    88.191.63.134 - - [25/Aug/2010:05:05:22 +0200] "POST /sqlmanager/scripts/setup.php HTTP/1.1" 403 230
    88.191.63.134 - - [25/Aug/2010:05:05:22 +0200] "POST /webdb/scripts/setup.php HTTP/1.1" 403 225
    88.191.63.134 - - [25/Aug/2010:05:05:24 +0200] "POST /sqlweb/scripts/setup.php HTTP/1.1" 403 226

    Merci.
    David.

  2. #2
    Membre émérite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2008
    Messages
    1 515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Octobre 2008
    Messages : 1 515
    Points : 2 505
    Points
    2 505
    Par défaut
    Si ta machine émet encore ces requêtes, tu peux peux-être sniffer ce qui sort de ton interface avec tcpdump, identifier le port source (s'il ne change pas à chaque fois), et trouver le process associé avec netstat.

  3. #3
    tintin22
    Invité(e)
    Par défaut
    C'est un exploit d'injection de code qui tente de retrouver une vulnerabilité sur une page de setup oubliée ... (au passage : il faut toujours virer le dossier setup après une installation).
    Ce que tu peux faire c'est de bannir l'ip (si celle-ci est toujours la meme) via un firewall ou alors d'installer un soft qui prend en charge ce genre d'attaques, bien sûr si tu as les accès necessaires sur ce serveur.

  4. #4
    Membre émérite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2008
    Messages
    1 515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Octobre 2008
    Messages : 1 515
    Points : 2 505
    Points
    2 505
    Par défaut
    Le truc c'est que c'est lui qui envoie les requêtes.

  5. #5
    Expert confirmé
    Homme Profil pro
    Inscrit en
    Septembre 2006
    Messages
    2 934
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2006
    Messages : 2 934
    Points : 4 347
    Points
    4 347
    Par défaut
    Citation Envoyé par matafan Voir le message
    Le truc c'est que c'est lui qui envoie les requêtes.
    si vous avez iptables :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
     
    iptables -A OUTPUT -d 88.191.63.134 -j LOG --log-level 7 --log-prefix "THEHACKER" --log-uid
    iptables -A OUTPUT -d 88.191.63.134 -j DROP
    la première mettra dans les logs une ligne préfixée THEHACKER contenant le userid et le maximum d'info
    et la deuxième empêchera le packet d'aboutir au destinataire
    et cela empêchera n'importe quel processus de se connecter à cette cible…

    cela devrait vous aider à trouver le processus… en vous donnant du temps pour le chercher…

    sans doute un script qui vous aura été injecté par un formulaire de vos sites Web et qui résidera dans un dossier dont les droits d'accès sont incorrects…


    (NB pour bloquer toutes les sorties de votre serveur vers des sites Web : utilisez -p 80 au lieu de -d A.B.C.D … )

Discussions similaires

  1. [1.x] probleme css sur serveur de prod
    Par domino974 dans le forum Symfony
    Réponses: 4
    Dernier message: 05/09/2011, 16h52
  2. Installation sur serveur TOMCAT Linux => plantage
    Par zdidier dans le forum W4 Express
    Réponses: 3
    Dernier message: 03/05/2009, 17h28
  3. Réponses: 15
    Dernier message: 07/05/2006, 15h39
  4. Temps de connexion sur serveur dedie
    Par loloviolo dans le forum Serveurs (Apache, IIS,...)
    Réponses: 2
    Dernier message: 22/03/2006, 00h57
  5. Samba sur serveur dedie
    Par loloviolo dans le forum Réseau
    Réponses: 3
    Dernier message: 14/12/2005, 15h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo