Bonsoir à tous,
hier j'ai remarqué une activité suspecte de ma connexion ADSL. J'ai donc jeté un oeil sur les logs de apache. Surprise, voici ce que je découvre :
84.118.*.* - - [02/Nov/2004:17:24:28 +0100] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1 [...] \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 414 337 "-" "-" "-"
Tous ces symboles (codé en hexadécimal je suppose) se répètent pour la même requête sur une longueur de 33 ko !!!
Alors je ne sais que penser. J'ai en tout cas coupé mon serveur apache le temps de savoir ce qu'il s'est passé et relancer ma connexion (pour changer d'IP).
J'ai remarqué que ces messages ont commencés à apparaître le 17 octobre et vont en s'intensifiant (de plus en plus rapproché).
Des indices pour moi ? Une idée pour savoir ce qu'aurai fait l'hypothétique méchant pirate ?
Dans le /var/log/syslog, rien de spécial à cette heure.
Ma version de apache : 1.3.31-7 (de chez Debian Sarge).
Merci.
Forum Linux.général On tente de me pirater ?
3
nov.
2004
# C'est un classique
Posté par dommtp . Évalué à 1.
Contente toi d'avoir un apache a jour et bien configuré.
[^] # Re: C'est un classique
Posté par tuxyl . Évalué à 1.
Par contre je me demande pourquoi ils essaient quand meme de la faire sur apache? C'est pas tres dur de savoir si j'ai un apache ou IIS.
[^] # Re: C'est un classique
Posté par Ellendhel (site web personnel) . Évalué à 3.
Les vers qui se propagent de cette facon ou les scripts kiddies qui lancent leurs scans sur des plages completes d'adresses IP ne se posent pas la question.
C'est comme pour les spammeurs : on vise tres large et on recupere que quelques pourcents de resultats.
# Un firewall as-tu ?
Posté par PhenixDotNet . Évalué à -1.
Je vois que tu heberge ton propre apache. C'est bien mais la sécurité dans de tel cas doit etre prise au sérieux et je me posais la question : as tu un firewall ?
if( J'ai un firewall == true)
{
change rien (ou met le a jour)
}
else
{
ben avec un vieux on peux en faire très bien basé sur une distrib dédié (comme ipcop ou smoothwall) ou avec une gentoo (mais alors bon courage...)
Je pense que cette solution est la meilleur au niveau de la sécurité.
}
A+
[^] # Re: Un firewall as-tu ?
Posté par Matthieu . Évalué à 5.
Un firewall ça sert si le traffic transite par sa machine.
La sécurité commence par la bonne configuration des services présents. Si tu veux que le monde utilise apache et seulement apache, alors tu configure apache pour accepter les requetes de tout le monde, et les autres services, soit tu les arrêtes, soit tu les configures selon ton besoin.
[^] # Re: Un firewall as-tu ?
Posté par spongurex . Évalué à 1.
Donc, pour te répondre, non je n'ai pas de firewall mais si j'ai été attaqué (ou testé plutôt), c'est par hasard.
L'installation d'un firewall reste tout de même enviseagé. J'y avais pensé il y a quelque temps mais je me suis dit que ça n'arrivai qu'aux autres, surtout que je n'ai pas de serveur vraiment public.
Les solutions telle FireStarter sont elles vraiment bien ou rien ne vaut une configuration en profondeur de iptable ?
[^] # Re: Un firewall as-tu ?
Posté par Mildred (site web personnel) . Évalué à 1.
http://www.fwbuilder.org/(...)
Tu as une interface graphique pour tout configurer et ca te sort un petit script shell qui utilise iptables (ou autre) que tu peux mettre sur ton firewall ...
Très pratique
# Faut chercher sur le site avant de poster...
Posté par liberforce (site web personnel) . Évalué à 2.
Tu serais tombé sur mon post 4 jours avant le tien
http://linuxfr.org/forums/10/4534.html(...)
ça fait gagner du temps
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.