Re: Serveur apache et logs

To: debian-user-french@lists.debian.org
Subject: Re: Serveur apache et logs
From: Dominique Asselineau <asseline@telecom-paristech.fr>
Date: Fri, 18 Oct 2013 17:08:10 +0200
Message-id: <[🔎] 20131018150810.GA16119@telecom-paristech.fr>
In-reply-to: <[🔎] 20131017221743.c7f3b12afc716de90d7ee030@maison.homelinux.net>
References: <[🔎] 20131017221743.c7f3b12afc716de90d7ee030@maison.homelinux.net>

François Boisson wrote on Thu, Oct 17, 2013 at 10:17:43PM +0200
> Bonjour,
> 
> Je viens d'hériter de la gestion d'un serveur. Coïncidence, un gus (un tiers
> Roumain, un tiers de Chicago, un troisième tiers du Venezuela suivant la
> machine qu'il utilise) à trouver une faille injection SQL (il travaillait à
> l'aveugle mais à tout de même flinguer 3 tables). 

Sauf si on ne peut pas faire autrement, l'accès à la base MySQL par un
CGI devrait s'en tenir à des privilèges des plus limités.  Ne pas
autoriser de drop par ex.

> Le problèe est réglé mais
> j'ai tout de même voulu prendre quelques précautions.
> 
> La première a été de mettre un système regardant une activité anormale. Un tel
> client fait une nombre considérable de requête POST par exemple et vérifier
> cela permet de détecter d'éventuels intrus. J'ai fait un script qui me donne
> les IPs ayant fait au delà d'un certain seuil de requêtes POST, réglé avec
> soin, ça ne montre que des clients vraiment louches. Le problème est que le
> serveur étant très fréquenté, les logs font pas loin de 300M. Y-a-t-il un
> outil de ce genre qui existe et qui soit optimisé, parce que même si mon
> script ne parcourt le fichier qu'une fois, un script un peu élaboré en bash
> est impossible et je ne voudrais pas réinventer la roue.

Déjà il y a logrotate pour empêcher les gros logs ?  assorti d'une
compression pour les fichiers logs passés.  La compression des logs
est d'environ 90%.

> 
> 
> Sinon, j'ai également trouvé dans les logs ceci
> [..]
> 125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "X-pmadrhz: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "X-xpuptyf: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "X-maelbfa: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "X-dbcrccy: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:57 +0200] "X-vmfxqnp: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:57 +0200] "X-iqstuvt: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:57 +0200] "X-orgbowb: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:58 +0200] "X-nryykxb: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:58 +0200] "X-prmyvdh: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:58 +0200] "X-zqameyt: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:59 +0200] "X-mkqupxc: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:04:00:12 +0200] "X-zjrbqcq: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:04:00:16 +0200] "X-vyqhwmd: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:55 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Firefox/12.0"
> 125.88.123.244 - - [15/Oct/2013:03:59:55 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
> 125.88.123.244 - - [15/Oct/2013:03:59:55 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:13.0) Gecko/20100101 Firefox/13.0.1"
> 125.88.123.244 - - [15/Oct/2013:04:00:17 +0200] "X-jhfvhca: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5"
> 125.88.123.244 - - [15/Oct/2013:04:00:18 +0200] "X-rwnblxu: 1" 400 306 "-" "-"
> 125.88.123.244 - - [15/Oct/2013:03:59:56 +0200] "GET / HTTP/1.1" 408 474 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:13.0) Gecko/20100101 Firefox/13.0.1"
> 125.88.123.244 - - [15/Oct/2013:04:00:18 +0200] "X-iqpzyld: 1" 400 306 "-" "-"
> [...]
> 
> Je n'arrive pas à voir ce que sont les méthodes X-vmfxqnp? Visiblement c'est une vague tentative «force brutale» ça ne correspond à rien sur du HTML. 
> Quelqu'un peut il m'éclairer sur ce point, je n'ai rien vu de cela sur le Web (il faut dire que les mots clefs ne sont pas simples à trouver
> ici).

Probablement des méthodes implémentées par des modules d'origines
incertaines.  Et on tente ça chance au cas où ces modules soient d'un
fonctionnement tout aussi incertain.

Pour plus de précaution, se limiter seulement aux méthodes nécessaires
pour le fonctionnement du service.

dom
--

Reply to:

Follow-Ups:
- Re: Serveur apache et logs
  - From: François Boisson <user.anti-spam@maison.homelinux.net>

References:
- Serveur apache et logs
  - From: François Boisson <user.anti-spam@maison.homelinux.net>

Prev by Date: Re: Récup' du contenu d'une clé USB
Next by Date: Re: root login: cannot execute sh [Résolu]
Previous by thread: Re: Serveur apache et logs
Next by thread: Re: Serveur apache et logs
Index(es):
- Date
- Thread