Le 17 oct. 13 à 22:17, François Boisson a écrit :
Bonjour,
Je viens d'hériter de la gestion d'un serveur. Coïncidence, un gus (un tiers
Roumain, un tiers de Chicago, un troisième tiers du Venezuela suivant la
machine qu'il utilise) à trouver une faille injection SQL (il travaillait à
l'aveugle mais à tout de même flinguer 3 tables). Le problèe est réglé mais
j'ai tout de même voulu prendre quelques précautions.
La première a été de mettre un système regardant une activité anormale. Un tel
client fait une nombre considérable de requête POST par exemple et vérifier
cela permet de détecter d'éventuels intrus. J'ai fait un script qui me donne
les IPs ayant fait au delà d'un certain seuil de requêtes POST, réglé avec
soin, ça ne montre que des clients vraiment louches. Le problème est que le
serveur étant très fréquenté, les logs font pas loin de 300M. Y-a-t-il un
outil de ce genre qui existe et qui soit optimisé, parce que même si mon
script ne parcourt le fichier qu'une fois, un script un peu élaboré en bash
est impossible et je ne voudrais pas réinventer la roue.
Sinon, j'ai également trouvé dans les logs ceci
[..]
125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "X-pmadrhz: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "X-xpuptyf: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "X-maelbfa: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "X-dbcrccy: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:57 +0200] "X-vmfxqnp: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:57 +0200] "X-iqstuvt: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:57 +0200] "X-orgbowb: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:58 +0200] "X-nryykxb: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:58 +0200] "X-prmyvdh: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:58 +0200] "X-zqameyt: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:59 +0200] "X-mkqupxc: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:04:00:12 +0200] "X-zjrbqcq: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:04:00:16 +0200] "X-vyqhwmd: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:55 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Firefox/12.0"
125.88.123.244 - - [15/Oct/2013:03:59:55 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
125.88.123.244 - - [15/Oct/2013:03:59:55 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:13.0) Gecko/20100101 Firefox/13.0.1"
125.88.123.244 - - [15/Oct/2013:04:00:17 +0200] "X-jhfvhca: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5"
125.88.123.244 - - [15/Oct/2013:04:00:18 +0200] "X-rwnblxu: 1" 400 306 "-" "-"
125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:13.0) Gecko/20100101 Firefox/13.0.1"
125.88.123.244 - - [15/Oct/2013:04:00:18 +0200] "X-iqpzyld: 1" 400 306 "-" "-"
[...]
Je n'arrive pas à voir ce que sont les méthodes X-vmfxqnp? Visiblement c'est une vague tentative «force brutale» ça ne correspond à rien sur du HTML.
Quelqu'un peut il m'éclairer sur ce point, je n'ai rien vu de cela sur le Web (il faut dire que les mots clefs ne sont pas simples à trouver
ici).
Merci
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"