Re: Tentatives possible réussies attaque serveur

[BERTRAND Joël <joel.bertrand@systella.fr>]

andre_debian@numericable.fr a écrit :
> On Friday 02 October 2015 12:34:49 yamo' wrote:
> > andre_debian@numericable.fr a écrit le 02/10/2015 11:10 :
> > > Je reçois ce message d'alerte (logwatch),
> > > venant d'un serveur sous Debian :
> > > ====================
> > > A total of 3 possible successful probes were detected
> > > (the following URLs contain strings that match one or
> > > more of a listing of strings that indicate a possible exploit):
> > > /index.php?rev=../ect/passwd HTTP Response 200
> > /index.php?rev=../../../../../../../../../../../../../../../../../../etc/passwd
> > > HTTP Response 200
> > > /index.php?rev=../../../../../../../../../etc/passwd HTTP Response 200
> > > ====================
> > > Il est indiqué "3 possible tentatives avec succès..."
> > > Y a t-il un danger que les mots de passe soient connus... ?
>
> > 	Les mots de passe, non, mais les logins et les mots de passe chiffrés.
> > Sans indiscrétion, quel est ce index.php moisi ?
> > 	Cordialement, JKB
>
> Le fichier d'index du site et pourquoi serait-il "moisi" ?
> p. ex : "http://trucmuche.fr/index.php?rev=kata.php";

	J'ai bien compris. Ce qui m'inquiète, c'est la réponse '200' qui aurait 
tendance à indiquer qu'un utilisateur distant peut récupérer le contenu 
de /etc/passwd. Si c'est le cas, le fichier index.php est moisi et la 
configuration d'apache est à revoir.

	La question était : est-ce que le index.php est fait maison ou provient 
d'un logiciel tiers (spip, joomla ou autre) ?

	Cordialement,

	JKB