Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Linux Autres OS Linux Debian Tentatives possible réussies attaque serveur

Tentatives possible réussies attaque serveur

33 réponses
Avatar
andre_debian
Bonjour,

Je re=E7ois ce message d'alerte (logwatch),
venant d'un serveur sous Debian :

=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
A total of 3 possible successful probes were detected=20
(the following URLs contain strings that match one or=20
more of a listing of strings that indicate a possible exploit):
/index.php?rev=3D../ect/passwd HTTP Response 200=20
/index.php?rev=3D../../../../../../../../../../../../../../../../../../etc/=
passwd=20
HTTP Response 200=20
/index.php?rev=3D../../../../../../../../../etc/passwd HTTP Response 200
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D

Il est indiqu=E9 "3 possible tentatives avec succ=E8s..."

Y a t-il un danger que les mots de passe soient connus... ?

Andr=E9
Signaler un problème avec ce contenu

3 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4
Avatar
pmenier
Le 02/10/2015 15:13, a écrit :
On Friday 02 October 2015 13:38:21 BERTRAND Joc3abl wrote:
a écrit :
On Friday 02 October 2015 12:34:49 yamo' wrote:
a écrit le 02/10/2015 11:10 :
Je reçois ce message d'alerte (logwatch),
venant d'un serveur sous Debian :
=================== >>>>> A total of 3 possible successful probes were detected
(the following URLs contain strings that match one or
more of a listing of strings that indicate a possible exploit):
/index.php?rev=../ect/passwd HTTP Response 200




/index.php?rev=../../../../../../../../../../../../../../../../../../etc/passwd
HTTP Response 200
/index.php?rev=../../../../../../../../../etc/passwd HTTP Response 200
=================== >>>>> Il est indiqué "3 possible tentatives avec succès..."
Y a t-il un danger que les mots de passe soient connus... ?





Les mots de passe, non, mais les logins et les mots de passe chiffrés.
Sans indiscrétion, quel est ce index.php moisi ?
Cordialement, JKB



Le fichier d'index du site et pourquoi serait-il "moisi" ?
p. ex : "http://trucmuche.fr/index.php?rev=kata.php"



Ce qui m'inquiète, c'est la réponse '200' qui aurait
tendance à indiquer qu'un utilisateur distant peut
récupérer le contenu de /etc/passwd.
Si c'est le cas, le fichier index.php est moisi et la
configuration d'apache est à revoir.
La question était : est-ce que le index.php est fait maison ou
provient d'un logiciel tiers (spip, joomla ou autre) ?
JKB



fait maison, c'est du classique dans les sites Web,
la page "index.php" reçoit les contenus des autres pages.

Comment faire autrement ?

André




Bonjour,

Pour éviter ce genre d'inclusion j'utilise le module mod_security
d'apache2. Bien configuré il ne ralentit pas trop les accès.

Patrick
Avatar
nathan malo
--001a11c269b0652dcd05224cef45
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

+1 pour un mod_security bien configuré, couplé à ceci c'est bien pratique !
https://github.com/derhansen/logwatch-modsec2

Cordialement,

Nathan Malo
Le 17 oct. 2015 1:33 PM, "pmenier" a écrit :

Le 02/10/2015 15:13, a écrit :

On Friday 02 October 2015 13:38:21 BERTRAND Joc3abl wrote:

a écrit :

On Friday 02 October 2015 12:34:49 yamo' wrote:

a écrit le 02/10/2015 11:10 :

Je reçois ce message d'alerte (logwatch),
venant d'un serveur sous Debian :
====================
A total of 3 possible successful probes were detected
(the following URLs contain strings that match one or
more of a listing of strings that indicate a possible exploit):
/index.php?rev=../ect/passwd HTTP Response 200






/index.php?rev=../../../../../../../../../../../../../../../../../.. /etc/passwd

HTTP Response 200
/index.php?rev=../../../../../../../../../etc/passwd HTTP Response 200
====================
Il est indiqué "3 possible tentatives avec succès..."
Y a t-il un danger que les mots de passe soient connus... ?






Les mots de passe, non, mais les logins et les mots de passe chiffrà ©s.
Sans indiscrétion, quel est ce index.php moisi ?
Cordialement, JKB




Le fichier d'index du site et pourquoi serait-il "moisi" ?
p. ex : "http://trucmuche.fr/index.php?rev=kata.php"




Ce qui m'inquiète, c'est la réponse '200' qui aurait
tendance à indiquer qu'un utilisateur distant peut
récupérer le contenu de /etc/passwd.
Si c'est le cas, le fichier index.php est moisi et la
configuration d'apache est à revoir.
La question était : est-ce que le index.php est fait maison ou
provient d'un logiciel tiers (spip, joomla ou autre) ?
JKB




fait maison, c'est du classique dans les sites Web,
la page "index.php" reçoit les contenus des autres pages.

Comment faire autrement ?

André


Bonjour,



Pour éviter ce genre d'inclusion j'utilise le module mod_security
d'apache2. Bien configuré il ne ralentit pas trop les accès.

Patrick






--001a11c269b0652dcd05224cef45
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<p dir="ltr">Bonjour,</p>
<p dir="ltr">+1 pour un mod_security bien configuré, couplé à   ceci c&#39;est bien pratique ! <br>
<a href="https://github.com/derhansen/logwatch-modsec2">https://github.co m/derhansen/logwatch-modsec2</a></p>
<p dir="ltr">Cordialement,</p>
<p dir="ltr">Nathan Malo</p>
<div class="gmail_quote">Le 17 oct. 2015 1:33 PM, &quot;pmenier&quot ; &lt;<a href="mailto:"></a>&gt; a écrit :<br type="attribution"><blockquote class="gmail_quot e" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> Le 02/10/2015 15:13, <a href="mailto:" target ="_blank"></a> a écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
On Friday 02 October 2015 13:38:21 BERTRAND Joc3abl wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
<a href="mailto:" target="_blank">andre_debi </a> a écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
On Friday 02 October 2015 12:34:49 yamo&#39; wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
<a href="mailto:" target="_blank">andre_debi </a> a écrit le 02/10/2015 11:10 :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
Je reçois ce message d&#39;alerte (logwatch),<br>
venant d&#39;un serveur sous Debian :<br>
====================<br>
A total of 3 possible successful probes were detected<br>
(the following URLs contain strings that match one or<br>
more of a listing of strings that indicate a possible exploit):<br>
/index.php?rev=../ect/passwd HTTP Response 200<br>
</blockquote></blockquote>
/index.php?rev=../../../../../../../../../../../../../../../../../../etc/ passwd<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="m argin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
HTTP Response 200<br>
/index.php?rev=../../../../../../../../../etc/passwd HTTP Response 200<br >
====================<br>
Il est indiqué &quot;3 possible tentatives avec succès...&quot;<b r>
Y a t-il un danger que les mots de passe soient connus... ?<br>
</blockquote></blockquote>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
Les mots de passe, non, mais les logins et les mots de passe chiffrés. <br>
Sans indiscrétion, quel est ce index.php moisi ?<br>
Cordialement, JKB<br>
</blockquote>
<br>
Le fichier d&#39;index du site et pourquoi serait-il &quot;moisi&quot; ?<br >
p. ex : &quot;<a href="http://trucmuche.fr/index.php?rev=kata.php" rel ="noreferrer" target="_blank">http://trucmuche.fr/index.php?rev=kata. php</a>&quot;<br>
</blockquote>
<br>
Ce qui m&#39;inquiète, c&#39;est la réponse &#39;200&#39; qui aur ait<br>
tendance à indiquer qu&#39;un utilisateur distant peut<br>
récupérer le contenu  de /etc/passwd.<br>
Si c&#39;est le cas, le fichier index.php est moisi et la<br>
configuration d&#39;apache est à revoir.<br>
La question était : est-ce que le index.php est fait maison ou<br>
provient d&#39;un logiciel tiers (spip, joomla ou autre) ?<br>
JKB<br>
</blockquote>
<br>
fait maison, c&#39;est du classique dans les sites Web,<br>
la page &quot;index.php&quot; reçoit les contenus des autres pages.<br >
<br>
Comment faire autrement ?<br>
<br>
André<br>
<br>
<br>
</blockquote>
Bonjour,<br>
<br>
Pour éviter ce genre d&#39;inclusion j&#39;utilise le module mod_secur ity d&#39;apache2. Bien configuré il ne ralentit pas trop les accà ¨s.<br>
<br>
Patrick<br>
<br>
<br>
</blockquote></div>

--001a11c269b0652dcd05224cef45--
Avatar
andre_debian
On Saturday 17 October 2015 13:33:10 pmenier wrote:
>site fait maison, c'est du classique dans les sites Web,
> la page "index.php" reçoit les contenus des autres pages.
> Comment faire autrement ?

Pour éviter ce genre d'inclusion j'utilise le module mod_security
d'apache2. Bien configuré il ne ralentit pas trop les accès.
Patrick



Merci de ce rappel de module à installer.

J'ai bien dans "/etc/apache2/mods-enabled" :
mod-security.conf & mod-security.load
1 2 3 4