IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration système Discussion :

[SECURITE] adresse ip bizarre dans access.log


Sujet :

Administration système

  1. #1
    Membre du Club
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    131
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 131
    Points : 67
    Points
    67
    Par défaut [SECURITE] adresse ip bizarre dans access.log
    Bonjour à tous,

    Je découvre dans mon access.log, les lignes suivantes et récurrentes (toutes les 10 ou 15min environs) avec la même adr ip localisée en roumanie :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    89.120.221.150 - - [29/May/2013:19:27:14 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 404 2017 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
    Quelqu'un sait il à quoi ça correspond et s'il faut m'en protéger ? mettre l'ip dans denyhosts par ex...

    Merci de votre éclairage...

    Adgenodux

  2. #2
    Membre éclairé
    Profil pro
    Inscrit en
    Août 2008
    Messages
    505
    Détails du profil
    Informations personnelles :
    Localisation : France, Puy de Dôme (Auvergne)

    Informations forums :
    Inscription : Août 2008
    Messages : 505
    Points : 712
    Points
    712
    Par défaut
    phpmyadmin devrait être protégé de toutes les ip, sauf celles qui sont explicitement autorisées, si c'est possible.

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    131
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 131
    Points : 67
    Points
    67
    Par défaut
    bonjour et merci pour la réponse...

    comme je peux voir, il n'y a eu que 3 connexions de cet ordre, sur les dossiers phpmyadmin, mysql et pma...

    à priori je ne vois rien dans mes logs à part ça et pas de phénomènes particuliers pour le moment...

    serait-il possible de savoir en quoi consiste ces types de connexion ?

  4. #4
    Membre éclairé
    Avatar de Etanne
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Novembre 2003
    Messages
    469
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2003
    Messages : 469
    Points : 855
    Points
    855
    Par défaut
    il s'agit de scanner pour trouver une éventuelle faille sur le serveur

    En interrogeant certaines pages, cela permet aux scanners de savoir si phpmyadmin est présent à cet endroit et éventuellement d'en connaître la version (afin d'utiliser les failles correspondants à cette version).
    "Phylactère temporaire" = tooltips

    Votre problème a été résolu ? Alors utilisez sur et

  5. #5
    Membre du Club
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    131
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 131
    Points : 67
    Points
    67
    Par défaut
    merci pour la précision Etanne...

    mais il n'y a pas moyen de réagir "activement" contre ça ? denyhosts, iptables, fail2ban etc sont des protections passives... il n'y a vraiment aucun moyen de remonter jusqu'à la machine source pour lui mettre... une ?

    je voudrais bien voir moi qu'on essaye de rentrer dans ma maison comme ça...

    je sorts et je

  6. #6
    Membre éclairé
    Avatar de Etanne
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Novembre 2003
    Messages
    469
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2003
    Messages : 469
    Points : 855
    Points
    855
    Par défaut
    Il y peut-être possible de mettre un règle en place pour bannir certaines IP, mais le meilleur moyen que je connaisse à ce jour est simplement de protéger son serveur en mettant à jour le système et ses programmes. En étant restrictif sur certains port (autorisé l'accès SSH et/ou MySQL uniquement depuis sa propre IP), etc...

    Tu peux remonter à sa machine avec son IP mais cela ne servira à rien pour les raisons suivantes :
    • Tu passeras ton temps à faire cela avec pleins d'autres IP
    • La fameuse IP est surement un PC infecté par un malware.. ..tu vas te venger sur une Mamie innocente ?
    • De la perte de temps.. ..juste de la perte de temps


    Si tu veux quand même t'amuser avec eux tu peux aller voir du coté des HoneyPots
    "Phylactère temporaire" = tooltips

    Votre problème a été résolu ? Alors utilisez sur et

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    131
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 131
    Points : 67
    Points
    67
    Par défaut
    (autorisé l'accès SSH et/ou MySQL uniquement depuis sa propre IP)
    oui tiens, à propos de ça, comment fait-on pour définir son adresse alors qu'elle est dynamique ?

    pour le moment je passe mon temps à reconfig tous les 3 jours mes accès (à part ssh qui est avec système de clés), ce qui n'est pas pratique... et tout config avec des clés, quand je vois comme j'ai séché pour ssh, certif apache, putty... il me faut le temps d'apprendre...

    il n'y a que 6 mois que je ne me suis mis sérieusement à Ubuntu server et Linux alors je suis aussi un peu "parano" du fait que je ne sais pas encore correctement tout interpréter... (rien que les graphs Munin, bonjour et il y a encore webmin, monit, loganalyzer... )

    je suis impressionné des possibilités qu'on a avec Linux puisqu'on peut environs tout faire, mais de ce fait, tout... c'est beaucoup...

    merci pour tes détails en tous cas...

  8. #8
    Rédacteur/Modérateur
    Avatar de troumad
    Homme Profil pro
    Enseignant
    Inscrit en
    Novembre 2003
    Messages
    5 597
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Novembre 2003
    Messages : 5 597
    Points : 7 832
    Points
    7 832
    Par défaut
    Citation Envoyé par adgenodux Voir le message
    oui tiens, à propos de ça, comment fait-on pour définir son adresse alors qu'elle est dynamique ?
    http://127.0.0.1 devrait toujours donner sur ton PC. Enfin, tu as peut-être reconfigurer ton serveur apache pour que certains sites ne pas accessibles par cette adresse, mais, ce serait que tu sais mettre la main dans le cambouis !
    Modérateur Mageia/Mandriva Linux
    Amicalement VOOotre
    Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org
    Mes tutoriels : xrandr, algorigramme et C, xml et gtk...

  9. #9
    Membre du Club
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    131
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 131
    Points : 67
    Points
    67
    Par défaut
    Merci pour ton message Troumad

    Citation:
    http://127.0.0.1 devrait toujours donner sur ton PC
    ah oui ? et comment le serveur fait-il la différence entre mon pc et n'importe quel autre alors ?

    quand je mets mon ip, même dynamique, il n'y a que cette adresse qui sera acceptée tandis que si je mets http://127.0.0.1, est-ce que ça ne laisse pas "ouvert" (moyennant authentification naturellement) à toutes les adresses ?

    Etant novice, il y a un truc qui m'échappe quelque part

  10. #10
    Rédacteur/Modérateur
    Avatar de troumad
    Homme Profil pro
    Enseignant
    Inscrit en
    Novembre 2003
    Messages
    5 597
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Novembre 2003
    Messages : 5 597
    Points : 7 832
    Points
    7 832
    Par défaut
    Ton PC fait la différence parce que les requêtes vers de telles adresses restent en interne du PC.
    Modérateur Mageia/Mandriva Linux
    Amicalement VOOotre
    Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org
    Mes tutoriels : xrandr, algorigramme et C, xml et gtk...

  11. #11
    Membre éclairé
    Avatar de Etanne
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Novembre 2003
    Messages
    469
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2003
    Messages : 469
    Points : 855
    Points
    855
    Par défaut
    Je pense que dans le cas de adgenodux MySql est installé sur un serveur, et en indiquant 127.0.0.1 alors l'accès sera fermé pour l'extérieur.

    Dans le cas d'une IP Dynamique, alors il faut passer par des solutions du type DynDNS je pense.

    Mais bon, il y a la solution suivante par exemple :
    • MySQL fermé pour l'extérieur
    • Utilisation d'un utilisateur non-root pour son site (avec des droits restreints)
    • Installation de PhpMyAdmin sur une Url de type : http://.../UnAutreNom avec un htaccess + htpasswd pour protéger.


    Il doit y avoir des guides sur developpez et des discutions là dessus, elle sauront vous guider.

    Etanne
    "Phylactère temporaire" = tooltips

    Votre problème a été résolu ? Alors utilisez sur et

  12. #12
    Membre du Club
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    131
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 131
    Points : 67
    Points
    67
    Par défaut
    Merci pour ces précisions Etanne,

    J'aurais en effet pu préciser que je ne suis pas en local, donc que j'accède depuis mon pc chez mon hébergeur.

    Dans le cas d'une IP Dynamique, alors il faut passer par des solutions du type DynDNS je pense
    J'y ai bien pensé cependant, les restrictions d'accès se font généralement par num d'adr ip (souvent 3 possibilités, local, adr specifique, parfois plusieurs, ou ouvert) et non par fqdn... donc comment traduire de la sorte une adresse dyndns ? En outre, il faudrait que mon pc modifie dyndns quand mon ip change et de là, il faudrait que dyndns prévienne mon serveur online du changement pour qu'il mette à jour les données (pour le moment c'est apache, munin et denyhosts et il faut encore "pondre" un truc pour modif les fichiers et relancer les services ?!) donc n'est-ce pas un peu "tordu" comme process et ne serait-il finalement pas encore plus simple (même si ce n'est pas évident non plus !) d'utiliser des clés, des certificats et/ou autres comme propose Etanne ?

    Je soumets peut-être des questions naïves mais je découvre les problématiques du webmaster débutant

  13. #13
    Rédacteur/Modérateur
    Avatar de troumad
    Homme Profil pro
    Enseignant
    Inscrit en
    Novembre 2003
    Messages
    5 597
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Novembre 2003
    Messages : 5 597
    Points : 7 832
    Points
    7 832
    Par défaut
    Il est tout à fait possible de prévenir ton hébergeur de changements d'Ip
    Si chez toi, tu est sous Linux, je peux te donner des tuyaux. Mais, regarde ce qu'en dit ton hébergeur. Je suis hébergé par OVH, il donne des infos intéressantes.
    Modérateur Mageia/Mandriva Linux
    Amicalement VOOotre
    Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org
    Mes tutoriels : xrandr, algorigramme et C, xml et gtk...

Discussions similaires

  1. [Web Service] ne pas logguer dans access.log
    Par jean-michel-78 dans le forum Bibliothèques et frameworks
    Réponses: 0
    Dernier message: 04/11/2011, 16h36
  2. Vérification redirection 301 dans access log
    Par Huntress dans le forum Apache
    Réponses: 2
    Dernier message: 09/08/2011, 10h11
  3. Mettre le login dans le access.log d'Apache
    Par fourchette dans le forum Apache
    Réponses: 6
    Dernier message: 17/12/2009, 19h34
  4. Réponses: 1
    Dernier message: 11/07/2007, 09h00
  5. la securite dans access?!
    Par souppayta dans le forum Sécurité
    Réponses: 5
    Dernier message: 18/03/2007, 18h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo