Discussion :

[vodkline]

coucou tout le monde
étant dépassé dans le monde de la sécurité je viens vous demander votre avis :

voila hier j'ai regarder les log dans /var/log/apache2

et voila ce que j'obtien dans le fichier error.log

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
[Sun Mar 04 16:59:37 2012] [error] [client 83.204.63.95] File does not exist: /var/www/top
[Sun Mar 04 18:34:16 2012] [error] [client 91.121.163.142] File does not exist: /var/www/w00tw00t.at.blackhats.romanian.anti-sec:)
[Sun Mar 04 18:34:16 2012] [error] [client 91.121.163.142] File does not exist: /var/www/phpMyAdmin
[Sun Mar 04 18:34:16 2012] [error] [client 91.121.163.142] File does not exist: /var/www/phpmyadmin
[Sun Mar 04 18:34:16 2012] [error] [client 91.121.163.142] File does not exist: /var/www/pma
[Sun Mar 04 18:34:16 2012] [error] [client 91.121.163.142] File does not exist: /var/www/myadmin
[Sun Mar 04 18:34:16 2012] [error] [client 91.121.163.142] File does not exist: /var/www/MyAdmin
[Sun Mar 04 20:26:38 2012] [error] [client 193.47.80.41] File does not exist: /var/www/robots.txt
[Sun Mar 04 20:26:38 2012] [error] [client 193.47.80.41] File does not exist: /var/www/dl
[Mon Mar 05 00:27:03 2012] [error] [client 65.52.110.199] File does not exist: /var/www/robots.txt
[Mon Mar 05 00:39:14 2012] [error] [client 66.249.67.244] File does not exist: /var/www/robots.txt
[Mon Mar 05 00:44:10 2012] [error] [client 64.246.178.34] File does not exist: /var/www/robots.txt
[Mon Mar 05 05:30:52 2012] [error] [client 213.186.127.9] File does not exist: /var/www/robots.txt
[Mon Mar 05 06:33:58 2012] [error] [client 66.249.67.199] File does not exist: /var/www/robots.txt
[Mon Mar 05 07:32:29 2012] [error] [client 65.52.110.18] File does not exist: /var/www/robots.txt
[Mon Mar 05 07:53:17 2012] [error] [client 119.63.196.74] File does not exist: /var/www/robots.txt
[Mon Mar 05 11:59:12 2012] [error] [client 66.249.67.210] File does not exist: /var/www/robots.txt
[Mon Mar 05 14:11:33 2012] [error] [client 123.125.71.78] File does not exist: /var/www/robots.txt
[Mon Mar 05 15:11:47 2012] [error] [client 184.107.80.4] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Mar 05 15:42:52 2012] [error] [client 178.32.154.51] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Mar 05 16:32:12 2012] [error] [client 176.31.53.135] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
[Mon Mar 05 17:43:44 2012] [error] [client 66.249.67.134] File does not exist: /var/www/robots.txt

ce qui se connecte sur mon serveur web cherche une page robot.txt mais pourquoi avec plusieur IP differente il cherche la meme page ?

ensuite quelqun pourrai m'expliquer ce que c'est que ces lignes? merci d'avance

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
[Mon Mar 05 15:11:47 2012] [error] [client 184.107.80.4] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Mar 05 15:42:52 2012] [error] [client 178.32.154.51] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Mar 05 16:32:12 2012] [error] [client 176.31.53.135] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)

[vodkline]

personne a d'idéee ? et personne ne sait comment je pourrai bannir ces IP automatiquement? on ma parler de fail2ban mais j'ai pas compris comment faire

[messinese]

Bonjour,

Aprés une rapide recherche sur google j'ai pu voir qu'il s'agirait d'un fuzzer http, lequel peut etre facilement bloqué par un fail2ban.

Cijoint les liens 1 et 2 qui te permettront d'y voir plus clair.

Cordialement.

[vodkline]

je vais regarder sa . merci

[eric-m]

Concernant la question sur robot.txt

La page robot.txt est utilisée pour donner des directives aux robots des moteurs de recherche qui explore le net.
C'est la première page qu'il cherche en arrivant sur un site, donc rien d'alarmant.
d'ailleurs l'adresse 66.249.67.244, est une adresse appartenant à Google.

[messinese]

Tout a fait, cela dis il est aussi consulté par les automates malveillants afin de pouvoir connaitres des répertoires non référencé par les moteurs de recherches (.htpasswd , cgi-bin, .htaccess....) dans le but d'en exploiter des faiblesses .

Prudence donc quand un bot suspect l'analyse ce n'est pas anodins meme si a la base ce fichiers est sensé ne pas etre vraiment exploitable, la recherche et la prise d'empreinte commence souvent par la .

Cordialement.