3 votes

S'agit-il d'un hacker ou de logs apache normaux ?

Je viens de vérifier mes logs Apache et je suis tombé sur ce log : Client refusé par la configuration du serveur. Ce que je trouve bizarre, ce sont les différentes versions de phpMyAdmin. L'adresse IP est en tchèque : http://whois.domaintools.com/188.120.221.206

Suis-je trop prudent ?

Que puis-je faire concrètement pour lutter contre ce phénomène ?

journaux http://img.skitch.com/20100315-tdp21pf8ect9nkbep4es3m81xy.jpg

7voto

Blounty Points 2856

Je suis d'accord avec Andrey. Il s'agit d'une attaque d'un robot scanner aléatoire. Ils parcourent l'internet (généralement dans une plage d'adresses IP spécifiée) à la recherche d'exploits connus sur les serveurs, puis rapportent leurs découvertes au vaisseau ruche wraith pour qu'il les élimine.

Edit : Je ne sais pas pourquoi ce message a été supprimé. En outre...

Ces robots scanneurs ne posent pas beaucoup de problèmes, sauf si vous utilisez une version d'Apache avec des exploits connus (beaucoup de ces robots sont programmés pour détecter les débordements de mémoire tampon et d'autres bogues liés au logiciel du serveur web) ou si vous avez des outils courants dans votre racine web (par exemple, phpMyAdmin). Gardez tous vos outils web sous clé (utilisez l'authentification de base d'Apache sur https, assez sûre) et ne mettez pas votre mot de passe racine à "cheese".

Edit2 : Mise à jour de l'article de SO.com

1voto

Gabriel Points 61

Comme le mentionnent les autres posts ici, c'est beaucoup trop courant de nos jours de trouver dans les logs quotidiens des scanners de vulnérabilité (crawlers), je recommande de mettre en place des pièges à spam et des honeypots afin d'aider à attraper ces types, et en même temps de vous protéger en utilisant des blacklists pour leur interdire l'accès directement à partir de leur IP sur votre serveur. Il y a quelques mois, je me suis retrouvé dans la même situation que vous, j'avais beaucoup de lignes dans mon journal comme suit

195.140.144.30 - - [16/Aug/2011:00:49:33 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 239 "-" "ZmEu" 

Le problème intéressant était que toutes les erreurs étaient 404, j'ai d'abord décidé d'arrêter cela en ajoutant un ban à l'agent ZmEu mais ce n'était pas suffisant, en cherchant et en cherchant j'ai trouvé le projet Honeypot et j'ai trouvé que c'était génial ! J'ai écrit quelques petits scripts pour ajouter quelques bandits bien connus à ma liste de refus et j'ai laissé le reste à un code fourni par eux, vous pouvez les trouver sur Projet Honeypot .

Vous pouvez également trouver sur le net quelques bons scripts php scripts pour créer vos propres listes noires et quelques règles .htaccess pour refuser l'accès à la plupart des mauvais agents utilisateurs bien connus.

Si vous installez une application Open source ou des outils PHP courants comme php_my_admin, blogs, ou CRMS, renommez tous leurs dossiers d'installation (supprimez-les si possible) et d'administration en quelque chose de cryptique et utilisez .httacess pour définir les mots de passe.

Par ailleurs, vous consultez souvent vos journaux pour bannir l'IPS incriminé.

Un bon exemple et une bonne référence sont disponibles aquí .

Si votre serveur web est public, vous devez définir des règles d'accès si vous voulez éviter les mauvaises surprises.

D'après mon expérience personnelle, tous ces efforts ont été récompensés, au moins le trafic sur le site provenant de ces exploiteurs a diminué au cours des cinq derniers mois.

Je vous recommande également de donner cet article une lecture.

0voto

Ape-inago Points 231

Un chemin d'accès ou une tentative de connexion n'a pas respecté les autorisations définies dans la configuration d'Apache. Comme @Andrey l'a dit, cela indique généralement que quelqu'un essaie de trouver un moyen d'entrer. Ma meilleure recommandation, cependant, est de rechercher certains des guides de renforcement d'Apache 2.x et de vous assurer que vous n'avez pas de trous béants.

Mise à jour : Maintenant que vous avez vos logs, il semble que cette personne essaie d'accéder à MyPHPAdmin. XAmmp, probablement en configurant que ces chemins ne sont accessibles que par 'localhost', ce qui crée une permission refusée pour tout accès externe. Quoi qu'il en soit, ma recommandation précédente tient toujours...

0voto

Xianlin Points 615

Vous pouvez peut-être essayer d'installer l'application "Fail2Ban" pour bannir ces IP afin de réduire le risque...

0voto

Lucas Kauffman Points 16740

C'est le bruit de fond de l'internet. Je recommande d'utiliser une application comme OSSEC ou Fail2ban pour interdire automatiquement ces types d'attaques.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X