Aller au contenu

Sujets conseillés

Posté

Bonjour à tous,

depuis quelques jours, j'obtiens dans mon logwatch des "possible successful probes were detected" via apache2. Voici la partie du log:

[/size][/color]
[color="#2A2A2A"][size="2"]A total of 1 sites probed the server
xxx.xxx.xxx.xxx

A total of 3 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):

//admin/index.php?_SERVER[ConfigFile]=../../../../../../../../proc/self/environ HTTP Response 302
//lists/admin/index.php?_SERVER[ConfigFile]=../../../../../../../../proc/self/environ HTTP Response 302
///lists/admin/index.php?_SERVER[ConfigFile]=../../../../../../../../proc/self/environ HTTP Response 302

j'ai recherché sur le net comment contrer cela mais sans succès. J'ai tenté un RewriteCondition avec le query string , mais ça ne fonctionne toujours pas.

Ma question est: comment ce fait-il pour obtenir un code 302 - moved permanently ? comment s'en protéger ?

j'ai vu une autre solution, désactiver le fopen et le include dans php.ini, mais si je fais ça, est-ce que mes connexions socket et includes de scripts dans mes pages webs en seront infectées ?

Deuxièmement, j'ai eu une série d'adresses IP, dont une venant d'un VPS de chez OVH.

J'ai fais un ticket support technique, et ils m'ont dit d'envoyer le fichier log sur abuse_AT_ovh.com... Mais quel fichier ? Le logwatch, ou un autre se trouvant dans /var/log ? je suis perdu dans ce dossier, je ne sais pas quel fichier équivaut à quoi.

J'utilise Mysql 5, php5+apache2.

Cordialement,

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...