J'ai eu la mauvaise surprise en regardant les logs apache de ma machine ce soir : une ligne de ce type apparait
213.89.64.62 - - [25/Oct/2004:21:51:04 +0200] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
[etc, etc, ...] 414 372 "-" "-"
Bon, je suis pas trop un pigeon, j'ai bien vu qu'on essayait un buffer overflow sur apache, qui semble t'il a tenu bon. J'ai aussi essayé de le localiser avec un traceroute, mais bon, c'était 2 heures après sa tentative, et le traceroute me retournait "* * *" à partir du 15 saut....
Question : comment être sûr que le pirate ne s'est pas introduit ? Comment faire pour éviter qu'il ne recommence ? Comment être prévenu quand quelqu'un tente un truc aussi gros (genre popup d'alerte) ?
Je précise que je suis sous Mandrake 10.1 avec les version apache suivantes :
apache2-modules-2.0.50-7mdk
apache2-common-2.0.50-7mdk
apache-conf-2.0.50-4mdk
apache2-2.0.50-7mdk
Merci de votre aide à tous, que je puisse dormir tranquille....
Forum Linux.général Tentative de piratage Apache !
29
oct.
2004
# Pas de quoi s'inquiéter
Posté par Sleem . Évalué à 9.
Tu n'as donc pas à t'en faire, contente toi d'appliquer régulièrement les mises à jour, de maintenir proprement ton infrastructure et d'être au courant des bulletins de sécurité (en t'inscrivant à la liste de sécurité de mandrake par exemple).
# faut pas s'en faire
Posté par Bernez . Évalué à 7.
comment être sûr que le pirate ne s'est pas introduit ?
Si t'utilises pas IIS, c'est bon.
Comment faire pour éviter qu'il ne recommence ?
Convaincre les gens d'arrêter d'utiliser IIS.
Comment être prévenu quand quelqu'un tente un truc aussi gros (genre popup d'alerte) ?
Je te le déconseille fortement. Ce genre d'incidents arrive vraiment très fréquement (à chaque fois uniquement destiné à IIS). Tu serais vite débordé de boulot si t'en fais un fromage à chaque log suspect.
[^] # Re: faut pas s'en faire
Posté par Antoine Büsch . Évalué à 1.
C'est malheureusement vrai, et c'est du coup super chiant quand on veut regarder dans ses logs et que c'est rempli de ce genre d'attaques, qui prennent chacune une centaine de lignes...
Est-ce qu'il y a un moyen de configurer le log d'Apache pour filtrer ce genre de lignes, ou au moins pour limiter la taille des lignes loguées ?
# IDS
Posté par Yann 'Ze' Richard (site web personnel) . Évalué à 3.
Plutot qu'utilisez une alerte, installe déjà un système de vérification d'intégrité des fichiers comme AIDE. Ca t'aidera à voir si il y a eu une corruption d'un fichier (genre introduction de backdoor dans un binaire etc..). Tu peut aussi installer chkrootkit pour voir si un rootkit connu est installé sur ton système. Attention, tout ceci n'empeche en rien une intrusion mais permet de la détecter a postériori. Ce n'est pas non plus infaillible..
# Ok
Posté par liberforce (site web personnel) . Évalué à 2.
# Solution infaillible ...
Posté par djnet . Évalué à 1.
C'est de booter sur un CD non effacable.
Sinon, je pense (sans etre sur de cela) que monter les partitions systemes (/etc /usr /bin /sbin ) en read-only doit bien embeter les pirates.
Cela ne protege pas forcement les contre la modifications des autres fichiers (ex: l'arborescence de ton site), si tu dois les laisser en read-write (si tu dois les modifier frequement).
Des commentaires sur ces solutions (CD / read-only) ?
[^] # Re: Solution infaillible ...
Posté par schyzomarijks . Évalué à 2.
my 2 cts
[^] # Re: Solution infaillible ...
Posté par Panda Voyageur (site web personnel, Mastodon) . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.