Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Bonsoir,
Le 18/04/2014 18:46, Philippe Gras a écrit :
> J'ai récupéré ça dans mes logs, donc j'ai plutôt l'impression que la
> tentative
> était dirigée contre mon serveur, et non contre le site du FBI :
> ==========================================================
> # grep "123.242.224.7" access.log
> 123.242.224.7 - - [16/Apr/2014:23:29:05 +0200] "GET / HTTP/1.1" 403 140
> "-" "Mozilla/5.0 (FHScan Core 1.1)"
> 123.242.224.7 - - [16/Apr/2014:23:30:04 +0200] "GET http://www.fbi.gov/
> HTTP/1.1" 403 140 "-" "-"
> 123.242.224.7 - - [16/Apr/2014:23:30:40 +0200] "CONNECT www.fbi.gov:80
> <http://www.fbi.gov:80> HTTP/1.0" 400 172 "-" "-"
> 123.242.224.7 - - [16/Apr/2014:23:31:13 +0200] "GET /admin/ HTTP/1.1"
> 403 140 "-" "Mozilla/5.0 (FHScan Core 1.1)"
> 123.242.224.7 - - [16/Apr/2014:23:31:36 +0200] "GET /~root/ HTTP/1.1"
> 403 140 "-" "Mozilla/5.0 (FHScan Core 1.1)"
> 123.242.224.7 - - [16/Apr/2014:23:31:54 +0200] "GET
> /configuration_administrator/VoIP/VoIP_1.htm HTTP/1.1" 403 140 "-"
> "Mozilla/5.0 (FHScan Core 1.1)"
> 123.242.224.7 - - [16/Apr/2014:23:32:23 +0200] "GET
> /cgi/index_voipgate.cgi HTTP/1.1" 403 140 "-" "Mozilla/5.0 (FHScan Core
> 1.1)"
En clair, tout va bien : tous les codes sont en 40X, et donc les
requêtes n'ont pas abouti.
Ce ne sont que des "gens" qui ont juste tenté.
Pas de quoi s'affoler.
> ==========================================================
> # grep "123.242.224.7" error.log
> 2014/04/16 23:29:05 [error] 11222#0: *1724586 access forbidden by rule,
> client: 123.242.224.7, server: localhost, request: "GET / HTTP/1.1",
> host: "5.135.191.38"
> 2014/04/16 23:30:04 [error] 11222#0: *1724591 access forbidden by rule,
> client: 123.242.224.7, server: localhost, request: "GET
> http://www.fbi.gov/ HTTP/1.1", host: "www.fbi.gov <http://www.fbi.gov>"
> 2014/04/16 23:31:13 [error] 11222#0: *1724637 access forbidden by rule,
> client: 123.242.224.7, server: localhost, request: "GET /admin/
> HTTP/1.1", host: "5.135.191.38"
> 2014/04/16 23:31:36 [error] 11222#0: *1724637 access forbidden by rule,
> client: 123.242.224.7, server: localhost, request: "GET /~root/
> HTTP/1.1", host: "5.135.191.38"
> 2014/04/16 23:31:54 [error] 11222#0: *1724637 access forbidden by rule,
> client: 123.242.224.7, server: localhost, request: "GET
> /configuration_administrator/VoIP/VoIP_1.htm HTTP/1.1", host: "5.135.191.38"
> 2014/04/16 23:32:23 [error] 11222#0: *1724637 access forbidden by rule,
> client: 123.242.224.7, server: localhost, request: "GET
> /cgi/index_voipgate.cgi HTTP/1.1", host: "5.135.191.38"
> ==========================================================
> Pour info, la racine de mon serveur n'est autorisée qu'aux IP que j'utilise.
>
Ça se confirme effectivement via les deux extraits de logs ;) .
> Je ne comprends pas bien cette histoire de proxies, je vais me renseigner.
En gros, un serveur HTTP (et vu qu'il connait habituellement la totalité
du protocole) possède souvent des modules pour être utilisé en tant que
proxy HTTP, plus généralement en tant que "Reverse proxy" : Il s'agit
d'un serveur principal connecté sur le réseau publique qui reçoit toutes
les requêtes, et les transmet, si besoin, à d'autres serveurs HTTP sur
le réseau privé.
http://fr.wikipedia.org/wiki/Proxy_inverse
Sauf que s'il y a une boulette dans la conf, le serveur HTTP peut se
retrouver à être non seulement "Reverse proxy", mais également "Proxy
HTTP" tout court.
Et donc que des personnes connectées au réseau publique accèdent à
d'autres sites publiques en utilisant le serveur HTTP comme proxy HTTP,
et donc en masquant leur adresse IP réelle derrière celle du serveur HTTP.
Mais rassures toi, ça ne semble pas être ton cas ;) .
Pour que cela soit dans le domaine du possible, il faut avoir
explicitement utilisé les modules proxy sur le serveur HTTP : `a2enmod
proxy` (de mémoire) dans le cas d'un service Apache, par exemple.
@+
Christophe.
Reply to: