<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <div class="moz-cite-prefix">Le 20/12/2018 à 13:19, Matthieu Herrb

      via technique a écrit :<br>

    </div>

    <blockquote type="cite"

      cite="mid:20181220121933.GA8958@timmy.laas.fr">

      <pre class="moz-quote-pre" wrap="">On Thu, Dec 20, 2018 at 12:26:26PM +0100, Samuel via technique wrote:

</pre>

      <blockquote type="cite">

        <pre class="moz-quote-pre" wrap="">Salut,

je remarque ce matin des messages bizarres dans mes logs apache, des trucs

comme ça :

dans /var/log/apache2/access.log :

193.112.58.20 - - [20/Dec/2018:06:27:37 +0100] "GET

/phpmyadmin/index.php?pma_username=root&pma_password=qwert&server=1

HTTP/1.1" 200 10998 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:48.0)

Gecko/20100101 Firefox/48.0"

et dans /var/log/apache2/error.log :

[Thu Dec 20 06:26:17.406724 2018] [:error] [pid 4882] [client

193.112.58.20:22572] script '/var/www/html/toor.php' not found or unable to

stat

Un Whois sur l'IP donne un site chinois tencent.com de pub en ligne.

Dans access.log j'ai des lignes comme ça à la pelle, ça ressemble à une

brute force... non ?

</pre>

      </blockquote>

      <pre class="moz-quote-pre" wrap="">Salut,

Bienvenue dans le monde réel. Si tu as un serveur web ouvert sur

l'internet, tu as forcément des dizaines de tentatives d'attaques de

ce genre en permanence, dès que l'IP a été identifiée comme répondant

sur les ports 80 ou 443.

Tout ce que tu as à faire c'est de t'assurer que tes services sont

correctement sécurisés:

- que les applis sont à jour

- que les mots de passe sont suffisament robustes (pas de mot de passe

  par défaut ou trop simple (comme le 'qwert' de ton log ci-dessus).

- qu'il n'y a que les applis strictement nécessaires qui écoutent sur

  internet (cas typique les caches redis, ou les serveurs de base de

  données qui n'ont besoin que d'un socket unix s'ils sont sur la même

  machine que l'appli web).

Avec ce minimum, ta VM doit pouvoir resister aux attaques suffisament

bien pour te permettre de dormir tranquille (tout en te reveillant de

temps en temps pour faire ce qu'il faut pour maintenir le système à

jour).

Dans 99% des attaques réussies que je vois, l'une de ces trois règles

n'avait pas été suivie.

</pre>

    </blockquote>

    <p>Je suis tombé sur le site suivant :

      <a class="moz-txt-link-freetext" href="https://infosec-handbook.eu/blog/wss1-basic-hardening/">https://infosec-handbook.eu/blog/wss1-basic-hardening/</a></p>

    <p>Il s'adresse aux débutants et il propose une démarche pas à pas

      de durcissement de son système et des services.</p>

    <p><br>

    </p>

    <p>Mes 2€cts,<br>

    </p>

    <blockquote type="cite"

      cite="mid:20181220121933.GA8958@timmy.laas.fr">

      <pre class="moz-quote-pre" wrap="">

</pre>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <pre class="moz-quote-pre" wrap="">_______________________________________________

technique mailing list

<a class="moz-txt-link-abbreviated" href="mailto:technique@lists.tetaneutral.net">technique@lists.tetaneutral.net</a>

<a class="moz-txt-link-freetext" href="http://lists.tetaneutral.net/listinfo/technique">http://lists.tetaneutral.net/listinfo/technique</a>

</pre>

    </blockquote>

    <pre class="moz-signature" cols="72">-- 

- P h i l i p p e   L a t u

--

<a class="moz-txt-link-freetext" href="https://inetdoc.net">https://inetdoc.net</a></pre>

  </body>

</html>