[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Tentatives possible réussies attaque serveur



Le 02/10/2015 15:13, andre_debian@numericable.fr a écrit :
On Friday 02 October 2015 13:38:21 BERTRAND Joc3abl wrote:
andre_debian@numericable.fr a écrit :
On Friday 02 October 2015 12:34:49 yamo' wrote:
andre_debian@numericable.fr a écrit le 02/10/2015 11:10 :
Je reçois ce message d'alerte (logwatch),
venant d'un serveur sous Debian :
====================
A total of 3 possible successful probes were detected
(the following URLs contain strings that match one or
more of a listing of strings that indicate a possible exploit):
/index.php?rev=../ect/passwd HTTP Response 200
/index.php?rev=../../../../../../../../../../../../../../../../../../etc/passwd
HTTP Response 200
/index.php?rev=../../../../../../../../../etc/passwd HTTP Response 200
====================
Il est indiqué "3 possible tentatives avec succès..."
Y a t-il un danger que les mots de passe soient connus... ?

Les mots de passe, non, mais les logins et les mots de passe chiffrés.
Sans indiscrétion, quel est ce index.php moisi ?
Cordialement, JKB

Le fichier d'index du site et pourquoi serait-il "moisi" ?
p. ex : "http://trucmuche.fr/index.php?rev=kata.php";

Ce qui m'inquiète, c'est la réponse '200' qui aurait
tendance à indiquer qu'un utilisateur distant peut
récupérer le contenu  de /etc/passwd.
Si c'est le cas, le fichier index.php est moisi et la
configuration d'apache est à revoir.
La question était : est-ce que le index.php est fait maison ou
provient d'un logiciel tiers (spip, joomla ou autre) ?
JKB

fait maison, c'est du classique dans les sites Web,
la page "index.php" reçoit les contenus des autres pages.

Comment faire autrement ?

André


Bonjour,

Pour éviter ce genre d'inclusion j'utilise le module mod_security d'apache2. Bien configuré il ne ralentit pas trop les accès.

Patrick



Reply to: