comportement bizarre sur serveur web

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Entraide Sécurité Sécurité Sécurité comportement bizarre sur serveur web

1 réponse

HelloMan

19/07/2005 à 11:23

Bonjour

Soit un serveur web apache2 linux port 80 avec snort sur le réseau qq part.
Le serveur web en question interdit l'accès (403) à toute requète de basE
sur l'adresse ip. pour avoir un accès web autorisé sur ce serveur il faut
passer par les virtual hosts, et donc par un nom de domaine valable ce qui
a pour effet de filtrer les requètes de vers et autrees sniffers de plages
d'adresses.

Cependant, depuis quelques jours, j'observe un comportement bizarre dans
les logs de ce serveur. J'ai des tonnes de requètes sur l'adresse ip (pas
plus sur les requètes web passant par les noms de domaine). Ces requètes
proviennent du même réseau (le FAI en l'occurence). et sont du type
'OVERSIZE REQUEST-URI DIRECTORY.'

voilà ce que cela donne dans les alertes de SNORT:
(..)
07/19-06:17:42.690318 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.34.3:3498 -> IP.DU.SERVEUR.WEB:80
07/19-06:24:29.010655 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.80.242:3372 -> IP.DU.SERVEUR.WEB:80
07/19-06:27:17.323523 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.90.120:2706 -> IP.DU.SERVEUR.WEB:80
07/19-06:27:46.296488 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.83.24:1301 -> IP.DU.SERVEUR.WEB:80
07/19-06:28:18.981254 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.90.154:3489 -> IP.DU.SERVEUR.WEB:80
07/19-06:31:18.231198 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.80.242:4125 -> IP.DU.SERVEUR.WEB:80
07/19-06:45:03.531396 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.83.24:1091 -> IP.DU.SERVEUR.WEB:80
07/19-06:46:37.600908 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.80.242:3922 -> IP.DU.SERVEUR.WEB:80
07/19-06:59:26.697106 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.221.201:3241 -> IP.DU.SERVEUR.WEB:80
07/19-07:14:00.275073 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.138.209:4254 -> IP.DU.SERVEUR.WEB:80
07/19-07:14:03.104330 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.21.28:2267 -> IP.DU.SERVEUR.WEB:80
07/19-07:34:03.727550 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.21.28:1238 -> IP.DU.SERVEUR.WEB:80
07/19-07:34:30.163735 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.21.28:1310 -> IP.DU.SERVEUR.WEB:80
07/19-07:35:08.447872 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.34.3:4937 -> IP.DU.SERVEUR.WEB:80
07/19-08:08:47.377536 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.34.3:3983 -> IP.DU.SERVEUR.WEB:80
07/19-08:21:58.066610 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.83.24:1784 -> IP.DU.SERVEUR.WEB:80
07/19-08:28:31.585200 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.237.93:2048 -> IP.DU.SERVEUR.WEB:80
07/19-08:37:00.273972 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.80.242:4161 -> IP.DU.SERVEUR.WEB:80
07/19-09:00:13.619062 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.93.69:3821 -> IP.DU.SERVEUR.WEB:80
07/19-09:01:12.660443 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.93.69:2213 -> IP.DU.SERVEUR.WEB:80
07/19-09:24:35.654451 [**] [119:15:1] (http_inspect) OVERSIZE REQUEST-URI
DIRECTORY [**] {TCP} IPRESEAU.FAI.237.93:2091 -> IP.DU.SERVEUR.WEB:80
(..)
et dans le /var/log/httpd/error_log aux horaires correspondantes à ci
dessus, on à :
(..)
'Tue Jul 19 05:17:48 2005 error client IPRESEAU.FAI.90.120 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 05:21:18 2005 error client IPRESEAU.FAI.90.120 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 05:42:06 2005 error client IPRESEAU.FAI.90.154 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:03:10 2005 error client IPRESEAU.FAI.90.154 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:04:20 2005 error client IPRESEAU.FAI.80.242 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:17:43 2005 error client IPRESEAU.FAI.34.3 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:24:29 2005 error client IPRESEAU.FAI.80.242 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:27:17 2005 error client IPRESEAU.FAI.90.120 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:27:46 2005 error client IPRESEAU.FAI.83.24 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:28:19 2005 error client IPRESEAU.FAI.90.154 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:31:18 2005 error client IPRESEAU.FAI.80.242 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:45:03 2005 error client IPRESEAU.FAI.83.24 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:46:37 2005 error client IPRESEAU.FAI.80.242 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 06:59:26 2005 error client IPRESEAU.FAI.221.201 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 07:14:00 2005 error client IPRESEAU.FAI.138.209 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 07:14:03 2005 error client IPRESEAU.FAI.21.28 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 07:34:03 2005 error client IPRESEAU.FAI.21.28 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 07:34:30 2005 error client IPRESEAU.FAI.21.28 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 07:35:08 2005 error client IPRESEAU.FAI.34.3 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 08:08:47 2005 error client IPRESEAU.FAI.34.3 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 08:21:58 2005 error client IPRESEAU.FAI.83.24 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 08:28:31 2005 error client IPRESEAU.FAI.237.93 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 08:37:00 2005 error client IPRESEAU.FAI.80.242 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 09:00:13 2005 error client IPRESEAU.FAI.93.69 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 09:01:12 2005 error client IPRESEAU.FAI.93.69 client denied by
server configuration: /var/www/html/'
'Tue Jul 19 09:24:35 2005 error client IPRESEAU.FAI.237.93 client denied by
server configuration: /var/www/html/'
(..)

Je ne comprends pas ça très bien, ça ressemble à des requètes de vers mais
c'est bizarre. J'ai des trucs dans les snort.log, mais je ne suis pas
expert en libpcap et je ne comprends pas bien (je peux fournir à la demande
si vous voulez)

En ce qui concerne les access_log, je n'ai pas de signature de client
(browser web) ce qui me fait penser à un truc pas très catholique genre ver
ou autre.

Qu'en pensez vous ???

merci de votre aide

1 réponse

Dominique Blas

19/07/2005 à 14:32

[...]

Qu'en pensez vous ???
Que ce qui est bien lorsqu'on utilise un logiciel c'est d'avoir la

documentation non loin.

Les messages remis par le préprocesseur http_inspect_server sont
documentés tout comme la possibilité de stocker l'ensemble de l'échange
correcpondant à cette signature afin de l'examiner plus tard avec
tcpdump ou [t]ethereal.

Au fait tu connais Google ? C'est pratique et rapide pour les questions
techniques.

Un tuyau : tente le 'no_alerts'.

db

--

Courriel : usenet blas net

comportement bizarre sur serveur web

1 réponse

Veuillez sélectionner un problème