IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Apache Discussion :

Piratage : Attaque réussie ou pas ? Suis-je en Danger ou pas ?


Sujet :

Apache

  1. #1
    Membre à l'essai Avatar de ngmsky
    Homme Profil pro
    Inscrit en
    août 2011
    Messages
    39
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : août 2011
    Messages : 39
    Points : 20
    Points
    20
    Par défaut Piratage : Attaque réussie ou pas ? Suis-je en Danger ou pas ?
    Bonjour,
    je developpe un site web en local, directement sur ma machine (et non en machine virtuelle).
    Pour effectuer des test de connexion à distance de l'exterieur, j'avais ouvers le port 80 et je l'ai redirigé vers mon pc.

    Seulement, hier, par curiosité, en vérifiant mes logs, j'ai vu des tentatives de connexion bizard, et venant des ip des payas etranger (canada, etc) alors que je suis en France et en plus je n'ai pas refais de test à de connexion de l'exterieur, il y'a plus de 1 mois.

    POur faire simple :
    J'ai tout de suite refermer le port 80.

    Et maintenant, j'aimerai savoir cequi s'est passé, en detail, si possible.

    J'ai une idée mais je ne mis connais pas trop, voila pourquoi j'aimerai vraiment avoir votre analyse.

    En fin de compte j'aimerai savoir :

    0/ Facultatif : L'explication de ces attaques, mode opératoire, ... tout details possibles

    1/ le but de l'attaque (selon les requettes des logs)
    2/ si l'attaque à réusssie ou pas (et si oui, que dois-je faire pour supprimer ses eventuel saletés),
    3/ Suis-je en danger ? cad si je reouvrais mon port 80, est-ce cette attaque pourrai fonctionner ?

    Pour info,
    - je travaille sur ubuntu, derniere version LTS (14.04) + apache2, php5.5, mysql ....
    - je fais régulièrement les mis à jours du systeme.
    - et le firewall est activé.


    Voici le fichier /var/log/apache2/access.log

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    200.48.15.70 - - [24/Apr/2015:05:26:47 +0200] "\xdaY'\xac\x97\x03\xf4\xeaXb\x8bs\x19\x02s-\xd7\x92\xd1ETw\xbc\x9f\t\xd8\xfb\xbep~\xb4\x8c\x8c\xd2\x02\x02_\x92\b\xb0\xae\xe6\xbf(\x1c3\xa2\xd0\x13\xef2\xe3\xe8\x98\xe2\x90?\xd3\x0e\x17" 400 300 "-" "-"
    200.48.15.70 - - [24/Apr/2015:05:41:40 +0200] "\x90\xfdx~" 501 276 "-" "-"
    52.11.4.146 - - [24/Apr/2015:06:59:38 +0200] "GET /muieblackcat HTTP/1.1" 404 467 "-" "-"
    52.11.4.146 - - [24/Apr/2015:06:59:38 +0200] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 483 "-" "-"
    52.11.4.146 - - [24/Apr/2015:06:59:39 +0200] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 483 "-" "-"
    52.11.4.146 - - [24/Apr/2015:06:59:39 +0200] "GET //pma/scripts/setup.php HTTP/1.1" 404 476 "-" "-"
    52.11.4.146 - - [24/Apr/2015:06:59:40 +0200] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 480 "-" "-"
    52.11.4.146 - - [24/Apr/2015:06:59:40 +0200] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 480 "-" "-"
    89.248.171.167 - - [24/Apr/2015:07:29:25 +0200] "GET /admin/bootstrap.inc.php?mgp=danc3Uf@t&c=whoami HTTP/1.0" 404 474 "-" "-"
    141.212.122.82 - - [24/Apr/2015:08:27:27 +0200] "GET / HTTP/1.1" 200 11764 "-" "-"
    196.21.48.1 - - [24/Apr/2015:08:29:45 +0200] "\xa9\xd3\x92, \x9e\x8e\xa2)9" 400 300 "-" "-"
    199.19.249.196 - - [24/Apr/2015:14:02:56 +0200] "GET / HTTP/1.1" 200 11820 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; MS-RTC LM 8; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    74.114.172.190 - - [24/Apr/2015:14:14:20 +0200] "\xaa\v\xf9\xdc\xeb\xde" 400 300 "-" "-"
    92.222.220.41 - - [24/Apr/2015:17:34:50 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-"

    Et voici le fichier : /var/log/apache2/error.log

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    [Fri Apr 24 05:26:47.181844 2015] [core:error] [pid 2118] [client 200.48.15.70:63158] AH00126: Invalid URI in request \xdaY'\xac\x97\x03\xf4\xeaXb\x8bs\x19\x02s-\xd7\x92\xd1ETw\xbc\x9f\t\xd8\xfb\xbep~\xb4\x8c\x8c\xd2\x02\x02_\x92\b\xb0\xae\xe6\xbf(\x1c3\xa2\xd0\x13\xef2\xe3\xe8\x98\xe2\x90?\xd3\x0e\x17
    [Fri Apr 24 05:41:40.797163 2015] [core:error] [pid 5258] [client 200.48.15.70:56371] AH00135: Invalid method in request \x90\xfdx~
    [Fri Apr 24 08:29:45.636097 2015] [core:error] [pid 5268] [client 196.21.48.1:25426] AH00126: Invalid URI in request \xa9\xd3\x92, \x9e\x8e\xa2)9
    [Fri Apr 24 14:14:20.817194 2015] [core:error] [pid 5268] [client 74.114.172.190:44157] AH00126: Invalid URI in request \xaa\v\xf9\xdc\xeb\xde
    Et aussi,

    4/ pourquoi le fichier error.log ne contient pas les traces des requettes commençant par "GET ..." mais uniquement des erreurs pour les requettes du genre : \xaa\v\xf9\x ... ?

    5/ Et y'a t-il un moyen de détecter "automatiquement" ce genre d'attaques et d'être alerter (par mail, ou sms par exemple ?). car j'imagine que si je n'ai pas été curieux et que l'attaque avait réussie, j'aurai pu le decouvrir après plusieurs mois vers quelques années ! Ce qui est grave.


    Merci d'avance pour vos analyse et propositions de solutions.

    A bientôt

  2. #2
    dsy
    dsy est déconnecté
    Membre habitué
    Profil pro
    Inscrit en
    septembre 2002
    Messages
    105
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2002
    Messages : 105
    Points : 141
    Points
    141
    Par défaut
    Salut

    2/ si l'attaque à réusssie ou pas (et si oui, que dois-je faire pour supprimer ses eventuel saletés),
    Toutes les requêtes sauf deux ont échouées. Les deux requêtes sans erreur ont affiché la page d'accueil.
    A priori, les "attaques" n'ont pas réussi.

    3/ Suis-je en danger ? cad si je reouvrais mon port 80, est-ce cette attaque pourrai fonctionner ?
    Non tant que tu continues à mettre à jour ton serveur.
    Par contre vu que tu développes un site web et que tu as une base de données, tu pourrais avoir des injections SQL. Cela dépend de ton code.

  3. #3
    Membre à l'essai Avatar de ngmsky
    Homme Profil pro
    Inscrit en
    août 2011
    Messages
    39
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : août 2011
    Messages : 39
    Points : 20
    Points
    20
    Par défaut
    Bonsoir,
    merci dsy, pour ta réponse, qui confirme aussi ce que je pensais. Maintenant au moins, je suis en paix.

    Sinon, si quelqu’un d'autres peut-il répondre aux questions 0, 1, 4 et 5/ ça sera toujours un plus.

    Merci encore à tous les intervenants.

  4. #4
    dsy
    dsy est déconnecté
    Membre habitué
    Profil pro
    Inscrit en
    septembre 2002
    Messages
    105
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2002
    Messages : 105
    Points : 141
    Points
    141
    Par défaut
    5/ Et y'a t-il un moyen de détecter "automatiquement" ce genre d'attaques et d'être alerter

    Oui avec un IDS : http://fr.wikipedia.org/wiki/Syst%C3..._d%27intrusion
    Le plus connu étant Snort.

  5. #5
    Membre à l'essai Avatar de ngmsky
    Homme Profil pro
    Inscrit en
    août 2011
    Messages
    39
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : août 2011
    Messages : 39
    Points : 20
    Points
    20
    Par défaut
    Bonsoir,

    Merci infiniment dsy pour tes explications et pour le lien.
    Je pense que les IDS sont vraiment indispensable pour un seveur.
    Je vais les etudier car je pense que je finirai par l'installer sur mon serveur (s'il faut que j'en prenne un).

    Par contre, d'apres wikipedia, les IDS hybride seraient mieux que les HIDS (pour un host) ou NIDS (pour le réseau).

    Saurais-tu celui qui serait mieux entre Prelude et OSSIM ? (selon ton expérience)

    Si je comprends bien, pour utiliser un IDS hybride, il faut forcement installer :
    - un IDS hybride
    - un NIDS (exemple : Snort)
    - un ou plusieurs HIDS ( par exemple : AIDE ou Tripwire + Chkrootkit )

    C'est bien ça ?

    En tout cas merci encore pour tout.

  6. #6
    dsy
    dsy est déconnecté
    Membre habitué
    Profil pro
    Inscrit en
    septembre 2002
    Messages
    105
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2002
    Messages : 105
    Points : 141
    Points
    141
    Par défaut
    Désolé je ne peux te conseiller un outil. Mais tu devrais commencer par le plus simple pour évoluer ensuite si besoin.

  7. #7
    Membre chevronné
    Avatar de cavo789
    Homme Profil pro
    Développeur Web
    Inscrit en
    mai 2004
    Messages
    1 211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : mai 2004
    Messages : 1 211
    Points : 1 847
    Points
    1 847
    Par défaut
    Bonjour

    Je suis un poil trop tard : mon application (voir ma signature) est un pare-feu logiciel (un WAF) et elle permet de contrer et d'identifier ces attaques.

    De ce que j'ai vu, les attaques (en fait, les requêtes), sont en 404 et donc aucune n'a réussie.

    Bonne soirée.
    Christophe (cavo789)
    Mes scripts Open Source : https://github.com/cavo789

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Réponses: 1
    Dernier message: 13/02/2012, 12h16
  2. Réponses: 1
    Dernier message: 28/09/2008, 17h10
  3. suis-je un spam ou pas ?
    Par realkilla dans le forum ASP
    Réponses: 8
    Dernier message: 28/08/2008, 18h50
  4. pas de donnée dans SOUS-ETAT : pas de print
    Par Ale74 dans le forum IHM
    Réponses: 5
    Dernier message: 27/10/2006, 11h02
  5. ne prend pas en compte le "0" ? comprend pas !!!
    Par pierre987321 dans le forum Général JavaScript
    Réponses: 5
    Dernier message: 17/10/2005, 20h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo