Re: Tentatives possible réussies attaque serveur
On Friday 02 October 2015 13:38:21 BERTRAND Joc3abl wrote:
> andre_debian@numericable.fr a écrit :
> > On Friday 02 October 2015 12:34:49 yamo' wrote:
> >> andre_debian@numericable.fr a écrit le 02/10/2015 11:10 :
> >>> Je reçois ce message d'alerte (logwatch),
> >>> venant d'un serveur sous Debian :
> >>> ====================
> >>> A total of 3 possible successful probes were detected
> >>> (the following URLs contain strings that match one or
> >>> more of a listing of strings that indicate a possible exploit):
> >>> /index.php?rev=../ect/passwd HTTP Response 200
>> /index.php?rev=../../../../../../../../../../../../../../../../../../etc/passwd
> >>> HTTP Response 200
> >>> /index.php?rev=../../../../../../../../../etc/passwd HTTP Response 200
> >>> ====================
> >>> Il est indiqué "3 possible tentatives avec succès..."
> >>> Y a t-il un danger que les mots de passe soient connus... ?
> >
> >> Les mots de passe, non, mais les logins et les mots de passe chiffrés.
> >> Sans indiscrétion, quel est ce index.php moisi ?
> >> Cordialement, JKB
> >
> > Le fichier d'index du site et pourquoi serait-il "moisi" ?
> > p. ex : "http://trucmuche.fr/index.php?rev=kata.php";
>
> Ce qui m'inquiète, c'est la réponse '200' qui aurait
> tendance à indiquer qu'un utilisateur distant peut
> récupérer le contenu de /etc/passwd.
> Si c'est le cas, le fichier index.php est moisi et la
> configuration d'apache est à revoir.
> La question était : est-ce que le index.php est fait maison ou
> provient d'un logiciel tiers (spip, joomla ou autre) ?
> JKB
fait maison, c'est du classique dans les sites Web,
la page "index.php" reçoit les contenus des autres pages.
Comment faire autrement ?
André
Reply to: