[apacha2] log bizarre

Support Debian
#1

Bonsoir,

Dans le log d’Apache, j’ai ces lignes :

*.nomdomaine.com:80 58.218.199.250 - - [09/Nov/2011:04:23:48 +0100] "GET http://218.83.152.252/judge112233.php HTTP/1.1" 200 753 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.nomdomaine.com:80 58.218.199.250 - - [09/Nov/2011:06:47:56 +0100] "GET http://ppcfinder.net/judge.php HTTP/1.1" 200 752 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.nomdomaine.com:80 58.218.199.227 - - [09/Nov/2011:10:12:00 +0100] "GET http://www.seektwo.com/proxy-1.php HTTP/1.1" 200 754 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.nomdomaine.com:80 58.218.199.250 - - [09/Nov/2011:10:19:06 +0100] "GET http://www.sharkspear.info/proxyheader.php HTTP/1.1" 200 758 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.nomdomaine.com:80 58.218.199.250 - - [09/Nov/2011:15:01:03 +0100] "GET http://www.max6he.com/judge.php HTTP/1.1" 200 753 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.nomdomaine.com:80 58.218.199.227 - - [09/Nov/2011:15:04:33 +0100] "GET http://www.carcluba.com/proxyheader.php HTTP/1.1" 200 755 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.nomdomaine.com:80 58.218.199.250 - - [09/Nov/2011:16:11:08 +0100] "GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 200 756 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.nomdomaine.com:80 58.218.199.250 - - [09/Nov/2011:17:24:12 +0100] "GET http://ppcfinder.net/judge.php HTTP/1.1" 200 752 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
*.nomdomaine.com:80 58.218.199.250 - - [09/Nov/2011:22:06:23 +0100] "GET http://218.83.152.252/judge112233.php HTTP/1.1" 200 753 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Est que c’est normal? Merci d’avance.

#2

Salut,
C’est une tentative de piratage (injection de script ou simplement collecte d’infos ?)

IP 58.218.199.250 = Chine

Le script essaye de ramasser des infos…

Visite le lien: ppcfinder.net/judge.php

#3

[quote=“lol”]

Visite le lien: ppcfinder.net/judge.php[/quote]

Qu’est ce que c’est ?

#4

[quote=“sorodje”][quote=“lol”]

Visite le lien: ppcfinder.net/judge.php[/quote]

Qu’est ce que c’est ?[/quote]

Un script php.

#5

[quote=“lol”]Salut,
C’est une tentative de piratage (injection de script ou simplement collecte d’infos ?)

IP 58.218.199.250 = Chine

Le script essaye de ramasser des infos…

Visite le lien: ppcfinder.net/judge.php[/quote]

C’est ce que je me suis aussi dis. Mais si j’ai ces lignes dans le log d’apache, c’est quelqu’un a réussi à injecter un script, non? :013
Pour le moment, j’ai rien vu d’anormal sur mes sites.

#6

Salut,
Non, (si je ne me trompe pas) ce sont les directives POST, PUT, et DELETE qui sont dangereuses, pas GET.

#7

Le mod evasive d’Apache empêche ça, lol??

#8

[quote=“lol”]Salut,
Non, (si je ne me trompe pas) ce sont les directives POST, PUT, et DELETE qui sont dangereuses, pas GET.[/quote]

Ok merci. Bon, pour le moment, logcheck me renvoie que des GET.

#9

C’est-à-dire? Je vais googler un peu sur ça.

#10

[quote=“lol”][quote=“sorodje”][quote=“lol”]

Visite le lien: ppcfinder.net/judge.php[/quote]

Qu’est ce que c’est ?[/quote]

Un script php.[/quote]

Ah oui pardon je n’avais pas vu que tu tirais le lien des logs en fait :wink:

#11

Salut,

Le mod_evasive empêche le “flood” (Au sens propre: inondation de ton serveur Web).
S’il n’y a que quelques tentatives, il ne réagira pas (En fait ça dépendra de la finesse du réglage des options du module).
Pour un serveur perso sans trop de trafic tu peux serrer la vis…

Edit: Il y a une page sur le Wiki: isalo.org/wiki.debian-fr/ind … od-evasive

#12

C’est seulement une question de conventions sur leur sémantique : un GET est plutôt censé être orienté “consultation” tandis qu’un POST sera plutôt orienté “modification” (PUT et DELETE sont très rares, en pratique je n’ai jamais vu un site les utiliser). Mais il est tout à fait possible de coder une page PHP comme on veut, et d’ignorer les conventions tacites. Il n’y a aucune contrainte technique de ce côté là.
Autrement dit, quand il s’agit de questions de sécurité (où tous les coups sont permis) tu ne peux pas te baser sur ce genre de suppositions. :wink:

#13

C’est seulement une question de conventions sur leur sémantique : un GET est plutôt censé être orienté “consultation” tandis qu’un POST sera plutôt orienté “modification” (PUT et DELETE sont très rares, en pratique je n’ai jamais vu un site les utiliser). Mais il est tout à fait possible de coder une page PHP comme on veut, et d’ignorer les conventions tacites. Il n’y a aucune contrainte technique de ce côté là.
Autrement dit, quand il s’agit de questions de sécurité (où tous les coups sont permis) tu ne peux pas te baser sur ce genre de suppositions. :wink:[/quote]

Ok.
Mais il faut tout de même que le php soit sur le serveur.
Si le pirate à réussi à injecter/modifier un php, c’est un peu mort déjà, non ? :005

#14

[quote=“lol”]Mais il faut tout de même que le php soit sur le serveur.
Si le pirate à réussi à injecter/modifier un php, c’est un peu mort déjà, non ? :005[/quote]
Effectivement vu comme ça… :mrgreen:
Edit : faut pas oublier non plus les scripts codés avec le pied gauche, y’en a beaucoup plus qu’on ne pense dans la nature. Y’a qu’à voir le récent problème des “dox UMP” qui ont été récupérés grâce à une bête injection SQL (donc, base modifiable à volonté probablement par un simple GET).

#15

C’est seulement une question de conventions sur leur sémantique : un GET est plutôt censé être orienté “consultation” tandis qu’un POST sera plutôt orienté “modification” (PUT et DELETE sont très rares, en pratique je n’ai jamais vu un site les utiliser). Mais il est tout à fait possible de coder une page PHP comme on veut, et d’ignorer les conventions tacites. Il n’y a aucune contrainte technique de ce côté là.
Autrement dit, quand il s’agit de questions de sécurité (où tous les coups sont permis) tu ne peux pas te baser sur ce genre de suppositions. :wink:[/quote]

Ok.
Mais il faut tout de même que le php soit sur le serveur.
Si le pirate à réussi à injecter/modifier un php, c’est un peu mort déjà, non ? :005[/quote]
Oui mais avant de mourir, tu seras prévenu par “surveillance” puisqu’il y aura eu modification.
Tu me diras que ça ne changera rien mais ça évite au moins de paniquer si ça ne doit pas être.

#16

Ça m’inquiète un peu ce log. logcheck m’a envoyé cela ce matin :

*.mondomaine:443 212.116.129.190 - admin [20/Nov/2011:05:24:52 +0100] "GET /admin/config.php HTTP/1.1" 200 2068 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
*.mondomaine:443 212.116.129.190 - admin [20/Nov/2011:05:24:52 +0100] "GET /admin/config.php HTTP/1.1" 200 2068 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
*.mondomaine:443 212.116.129.190 - admin [20/Nov/2011:05:24:53 +0100] "GET /admin/config.php HTTP/1.1" 200 2068 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
*.mondomaine:443 212.116.129.190 - admin [20/Nov/2011:05:24:53 +0100] "GET /admin/config.php HTTP/1.1" 200 2068 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
*.mondomaine:443 212.116.129.190 - admin [20/Nov/2011:05:24:54 +0100] "GET /admin/config.php HTTP/1.1" 200 2068 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
*.mondomaine:443 212.116.129.190 - admin [20/Nov/2011:05:24:54 +0100] "GET /admin/config.php HTTP/1.1" 200 2068 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
*.mondomaine:443 212.116.129.190 - admin [20/Nov/2011:05:24:54 +0100] "GET /admin/config.php HTTP/1.1" 200 2068 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9) Gecko/2008052906 Firefox/3.0"
*.mondomaine:443 212.116.129.190 - asteriskuser [20/Nov/2011:05:24:55 +0100] "GET /admin/config.php HTTP/1.1" 200 2068 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9) Gecko/2008052906 Firefox/3.0"

Plusieurs informations m’intriguent cette fois:

  • le nom d’utilisateur (qui n’existe pas sur mon serveur d’ailleurs)
  • le get pointe vers un fichier sur le serveur
  • apache2 renvoi un code 200 (Requête traitée avec succès selon wikipédia)

C’est louche tout ça, non?

#17

Salut,
Ben oui, le bulgare navigue dans tes fichiers…

As-tu une protection du répertoire par mot de passe ?
Il y a quoi dans le répertoire /admin ?
As-tu installé fail2ban sur ton serveur ?

#18

[quote=“lol”]Salut,
Ben oui, le bulgare navigue dans tes fichiers…
[/quote]

:013

[quote=“lol”]As-tu une protection du répertoire par mot de passe ?
Il y a quoi dans le répertoire /admin ?
[/quote]
Ben, je ne sais pas d’où vient ce répertoire. Le log d’apache ne précise pas le sous domaine (il y a juste *). Mais, aucun de mes sites a ce genre de répertoire.
Est que c’est possible de configurer apache2 pour qu’il refuse les connections pour des VirtualHost qui n’existent pas?

Oui, j’ai installé fail2ban… Je viens de regarder le fichier jail.conf, je n’ai pas activé apache.

#19

Salut,
S’il n’y a pas ce répertoire, ni dans tes vhosts ni dans la racine de ton site, pas de soucis…

Les mecs (ou les bots) essayent.
Parfois, avec un peu de cul, ils tombent sur un site non protégé et parviennent à récupérer une conf (avec les infos mysql par ex) ou à se connecter si le mot de passe est pas trop béton…

Configure et test ton fail2ban ça évite des ennuis.
Au fait, tu as installé mod_evasive ?

Il y a mod_security qui est pas mal aussi…

#20

J’ai configuré fail2ban pour apache. J’ai aussi installé et configuré mod_evasive. Je vais voir pour mod_security.

Merci.