Forum Linux.général On tente de me pirater ?

Posté par .
Tags : aucun
0
3
nov.
2004
Bonsoir à tous,

hier j'ai remarqué une activité suspecte de ma connexion ADSL. J'ai donc jeté un oeil sur les logs de apache. Surprise, voici ce que je découvre :

84.118.*.* - - [02/Nov/2004:17:24:28 +0100] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1 [...] \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 414 337 "-" "-" "-"

Tous ces symboles (codé en hexadécimal je suppose) se répètent pour la même requête sur une longueur de 33 ko !!!

Alors je ne sais que penser. J'ai en tout cas coupé mon serveur apache le temps de savoir ce qu'il s'est passé et relancer ma connexion (pour changer d'IP).

J'ai remarqué que ces messages ont commencés à apparaître le 17 octobre et vont en s'intensifiant (de plus en plus rapproché).

Des indices pour moi ? Une idée pour savoir ce qu'aurai fait l'hypothétique méchant pirate ?

Dans le /var/log/syslog, rien de spécial à cette heure.
Ma version de apache : 1.3.31-7 (de chez Debian Sarge).

Merci.
  • # C'est un classique

    Posté par . Évalué à 1.

    C'est une attaque destinée à IIS. Tu n'as rien a craindre.
    Contente toi d'avoir un apache a jour et bien configuré.
    • [^] # Re: C'est un classique

      Posté par . Évalué à 1.

      Effectivement je l'ai eu plusieurs fois ces jours-ci.
      Par contre je me demande pourquoi ils essaient quand meme de la faire sur apache? C'est pas tres dur de savoir si j'ai un apache ou IIS.
      • [^] # Re: C'est un classique

        Posté par (page perso) . Évalué à 3.

        Bonjour,

        Les vers qui se propagent de cette facon ou les scripts kiddies qui lancent leurs scans sur des plages completes d'adresses IP ne se posent pas la question.

        C'est comme pour les spammeurs : on vise tres large et on recupere que quelques pourcents de resultats.
  • # Un firewall as-tu ?

    Posté par . Évalué à -1.

    Salut !!

    Je vois que tu heberge ton propre apache. C'est bien mais la sécurité dans de tel cas doit etre prise au sérieux et je me posais la question : as tu un firewall ?

    if( J'ai un firewall == true)
    {
    change rien (ou met le a jour)
    }
    else
    {
    ben avec un vieux on peux en faire très bien basé sur une distrib dédié (comme ipcop ou smoothwall) ou avec une gentoo (mais alors bon courage...)
    Je pense que cette solution est la meilleur au niveau de la sécurité.
    }


    A+
    • [^] # Re: Un firewall as-tu ?

      Posté par . Évalué à 5.

      un firewall ça ne sert à rien sur un serveur.

      Un firewall ça sert si le traffic transite par sa machine.

      La sécurité commence par la bonne configuration des services présents. Si tu veux que le monde utilise apache et seulement apache, alors tu configure apache pour accepter les requetes de tout le monde, et les autres services, soit tu les arrêtes, soit tu les configures selon ton besoin.
    • [^] # Re: Un firewall as-tu ?

      Posté par . Évalué à 1.

      En faites, je devellope un site qui est ensuite mis en ligne sur le vrai serveur. Je n'héberge que la version de test. J'utilise un service de DNS dynamique (DynDNS) et je n'ai donnée mon adresse que à quelques personnes.

      Donc, pour te répondre, non je n'ai pas de firewall mais si j'ai été attaqué (ou testé plutôt), c'est par hasard.

      L'installation d'un firewall reste tout de même enviseagé. J'y avais pensé il y a quelque temps mais je me suis dit que ça n'arrivai qu'aux autres, surtout que je n'ai pas de serveur vraiment public.

      Les solutions telle FireStarter sont elles vraiment bien ou rien ne vaut une configuration en profondeur de iptable ?
  • # Faut chercher sur le site avant de poster...

    Posté par (page perso) . Évalué à 2.

    recherche sur linuxfr : "SEARCH apache"...

    Tu serais tombé sur mon post 4 jours avant le tien
    http://linuxfr.org/forums/10/4534.html(...)

    ça fait gagner du temps

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.