[Résolu] Tentative de hack - Logwatch successful probe

Bonjour,

Dans mon dernier rapport logwatch, j’ai vu passer ceci dans la section Apache :

[quote]A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
/?-d%20allow_url_include%3DOn±d%20auto_prepend_file%3D…/…/…/…/…/…/…/…/. ./…/…/…/etc/passwd%00%20-n/?-d%20allow_url_include%3DOn±d%20auto_prepend_fil e%3D…/…/…/…/…/…/…/…/…/…/…/…/etc/passwd%00%20-n HTTP Response 200 [/quote]

Que faut-il faire ?

J’ai Apache et php5 à jour (debian stable). Si j’ai bien compris, la requête vise à récupérer le fichier /etc/passwd. J’ai tenté de la lancer sans succès (j’ai un retour mais rien d’anormal et rien de spécial dans le code source).

Merci

A mon avis, une tentative scriptée non fructueuse.

Peut-être regarder du côté de mod-security pour Apache pour renforcer la protection

Ok. C’est ce que je pense aussi. Mais je voulais être sûr. Je vais regarder le mod_security.

Une question en passant : Chaque jour, je reçois plusieurs tentatives de scans de deux types :

• Des scans sur Apache, en essayant de trouver phpmyadmin (pma/install.php etc) et en essayant w00tw00t etc.
• Des scans sur postfix en essayant des listes d’utilisateurs.

Comment puis-je réduire ces scans (qui sont toujours infructueux) ?

Merci

P.S. : Le pire étant que mon serveur n’est même pas référencé par Google…

Salut,

À configurés, selon les goûts et besoins …

[quote=“archimedio”]Ok. C’est ce que je pense aussi. Mais je voulais être sûr. Je vais regarder le mod_security.

Une question en passant : Chaque jour, je reçois plusieurs tentatives de scans de deux types :

• Des scans sur Apache, en essayant de trouver phpmyadmin (pma/install.php etc) et en essayant w00tw00t etc.
• Des scans sur postfix en essayant des listes d’utilisateurs.

Comment puis-je réduire ces scans (qui sont toujours infructueux) ?

Merci

P.S. : Le pire étant que mon serveur n’est même pas référencé par Google…[/quote]
Je crois que tout le monde est concerné

pour postfix, ce sont des spambots qui font ça (merci les machines zombies sous windows )

+1 pour fail2ban, en adaptant les règles fournies si besoin (je ne connais pas les 2 autres softs)

Sur un serveur Web, tu ne peux rien faire. Ai confiance en ton système.

Chaque jour j’ai pas loin de 500 tentatives de connexion sur postfix / dovecot / scans de Apache.

J’ai confiance en mon système, mais si je pouvais les réduire, je serais plus tranquille J’ai fail2ban et portsentry installés et fonctionnels. Mais je n’ai pas ajoutés beaucoup de jails à celle par défaut. Pas de problèmes sur le port SSH car je n’utilise pas le port par défaut.

Après vérification, j’ai 3 types de choses à bloquer :

Des tentatives pour se connecter sur dovecot avec différents users. Ce qui m’étonne c’est le rip=127.0.0.1
J’ai pensé que cela pouvait être une tentative de connexion via Roundcube mais après avoir vérifié les logs de roundcube, ce n’est pas le cas.

2. 498 SASL authentication failed -------------------------------------------------------------- 34 IP Hostnam
   Sur Postfix, plusieurs “SASL authentication failed”.

3. Attempts to use known hacks by * hosts were logged ** time(s) from: IP: ** Time(s)
   Dans les logs d’Apache. Des tentatives d’appeler des URLs étranges (trouver un éventuel script d’insall de phpmyadmin qui traîne, des appels de ce genre :
   /vtigercrm/graph.php?current_language=…/…/…/…/…/…/…/…//etc/elastix.conf%00&module=Accounts&actio ) etc.

Pour Apache, je pense qu’il n’y a pas grand chose à faire (à part éventuellement bloquer au bout d’un certain nombre de 404 ?). Mais pour Postfix et Dovecot ? Sachant que j’ai 498 tentatives mais seulement une vingtaine d’ips.

Merci

Configurer le jail de fail2ban pour postfix/postfix-sasl devrait bien aider

J’ai mis en place le jail de fail2ban.

Cela fait quelques jours que je n’ai plus de scans, je vais voir ce que ça donne quand ça recommencera.

Merci.

Résolu !! => Coche verte!!!