Message logs : HTTP Response 302

Le
andre_debian
Bonjour,

Je reçois ce message via le logwatch d'un serveur :

A total of 288 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):

Et la liste des 288 lignes dont celle ci :
/modules/messages/index.php?module=../../../../../../etc/passwd%00 HTTP R=
esponse 302

Faut-il que je m'inquiète ?

Le sujet avait été lancé il y a peu mais là c'est nouveau "HTTP Res=
ponse 302".

Code Message Signification
302 Found Document déplacé de façon temporaire

Merci.

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201401131737.27608.andre_debian@numericable.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bzzz
Le #25932862
On Mon, 13 Jan 2014 17:37:27 +0100
wrote:

/modules/messages/index.php?module=../../../../../../etc/passwd%00
HTTP Response 302

Faut-il que je m'inquiète ?



Vraisemblablement non à partir du moment où la racine de tes
documents est correctement paramétrée (mais pas plus tard
qu'aujourd'hui, full disclosure a indiqué qu'un site de cul
était sensible à cette attaque… donc, si c'est le tien,
c'est déjà râpé).

Le sujet avait été lancé il y a peu mais là c'est nou veau "HTTP
Response 302".

Code Message Signification
302 Found Document déplacé de façon temporaire



C'est la réponse par défaut d'apache quand rien n'est configurà ©
pour la redirection.

--
<noxus> c vers ou le col de l'uterus ?
<TLz> je c pas je regarde po le tour de france

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Frédéric Micout
Le #25932922
Le 13/01/2014 17:50, Bzzz a écrit :
On Mon, 13 Jan 2014 17:37:27 +0100
wrote:

/modules/messages/index.php?module=../../../../../../etc/passwd%00
HTTP Response 302

Faut-il que je m'inquiète ?


Vraisemblablement non à partir du moment où la racine de tes
documents est correctement paramétrée (mais pas plus tard
qu'aujourd'hui, full disclosure a indiqué qu'un site de cul
était sensible à cette attaque… donc, si c'est le tien,
c'est déjà râpé).

Le sujet avait été lancé il y a peu mais là c'est nouveau "HTTP
Response 302".

Code Message Signification
302 Found Document déplacé de façon temporaire


C'est la réponse par défaut d'apache quand rien n'est configuré
pour la redirection.



Bonjour,

J'ai le même genre de choses en ce moment sur mon serveur apache2.
La racine de mes sites est bien paramétrée donc pas de soucis normalement.

A défaut d'autre chose, j'ai quand même activé le mod_evasive d'apache.

--

Frédéric Micout
|
Mon blog : http://blog.sujets-libres.fr
Page de dev perso : http://dev.sujets-libres.fr

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
andre_debian
Le #25932982
On Monday 13 January 2014 18:11:39 Frédéric Micout wrote:
> wrote:
>> /modules/messages/index.php?module=../../../../../../etc/passwd%00
>> HTTP Response 302

J'ai le même genre de choses en ce moment sur mon serveur apache2.
La racine de mes sites est bien paramétrée donc pas de soucis n ormalement.



Merci.

Comment savoir si la racine du site est bien paramétrée ? :
ServerRoot ...
DocumentRoot ...

A défaut d'autre chose, j'ai quand même activé le mod_evas ive d'apache.
Frédéric Micout



/etc/apache2/mods-available/ n'a pas ce mode "mod_evasive"

andré



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Frédéric Micout
Le #25933122
Le 13/01/2014 18:33, a écrit :
On Monday 13 January 2014 18:11:39 Frédéric Micout wrote:
wrote:
/modules/messages/index.php?module=../../../../../../etc/passwd%00
HTTP Response 302




J'ai le même genre de choses en ce moment sur mon serveur apache2.
La racine de mes sites est bien paramétrée donc pas de soucis normalement.


Merci.

Comment savoir si la racine du site est bien paramétrée ? :
ServerRoot ...
DocumentRoot ...


Mon DocumentRoot est paramétré individuellement pour chacun de mes
virtualHost (par forcement dans /var/www). Il me semble que ça suffit.
A défaut d'autre chose, j'ai quand même activé le mod_evasive d'apache.
Frédéric Micout


/etc/apache2/mods-available/ n'a pas ce mode "mod_evasive"


Il faut d'abord l'installer :
apt-get install libapache2-mod-evasive

andré







--

Frédéric Micout
|
Mon blog : http://blog.sujets-libres.fr
Page de dev perso : http://dev.sujets-libres.fr

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
andre_debian
Le #25933162
On Monday 13 January 2014 19:28:29 Frédéric Micout wrote:

>>>> /modules/messages/index.php?module=../../../../../../etc/passwd%00
>>>> HTTP Response 302
>>
>> J'ai le même genre de choses en ce moment sur mon serveur apache2.
>> La racine de mes sites est bien paramétrée donc pas de soucis
>> normalement.
Mon DocumentRoot est paramétré individuellement pour chacun de mes
virtualHost (par forcement dans /var/www). Il me semble que ça suffi t.
Il faut d'abord l'installer :
apt-get install libapache2-mod-evasive



Ok, fait, merci.

J'ai installé aussi OWASP (Open Web Application Security Project),
complément de "mod-security".

Mais plusieurs modules dans "/etc/modsecurity/activated_rules/"
ne fonctionnent pas, tel par exemple et d'autres :
"modsecurity_crs_21_protocol_anomalies.conf"

Quand je relance Apache2 je reçois un message d'erreur de variable
sur un de ces fichiers.

Malgré recherches sous "Gogole est ton ami", pas d'explications trouv ées.

Dommage, car OWASP semble protéger de pas mal d'attaques :
hijack, violations, injections ... etc ...

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme