[technique] attaque brute force sur VM ?

Matthieu Herrb matthieu at herrb.eu
Jeu 20 Déc 13:19:33 CET 2018 

On Thu, Dec 20, 2018 at 12:26:26PM +0100, Samuel via technique wrote:
> Salut,
> 
> je remarque ce matin des messages bizarres dans mes logs apache, des trucs
> comme ça :
> 
> dans /var/log/apache2/access.log :
> 
> 193.112.58.20 - - [20/Dec/2018:06:27:37 +0100] "GET
> /phpmyadmin/index.php?pma_username=root&pma_password=qwert&server=1
> HTTP/1.1" 200 10998 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:48.0)
> Gecko/20100101 Firefox/48.0"
> 
> et dans /var/log/apache2/error.log :
> 
> [Thu Dec 20 06:26:17.406724 2018] [:error] [pid 4882] [client
> 193.112.58.20:22572] script '/var/www/html/toor.php' not found or unable to
> stat
> 
> Un Whois sur l'IP donne un site chinois tencent.com de pub en ligne.
> 
> Dans access.log j'ai des lignes comme ça à la pelle, ça ressemble à une
> brute force... non ?
>
Salut,

Bienvenue dans le monde réel. Si tu as un serveur web ouvert sur
l'internet, tu as forcément des dizaines de tentatives d'attaques de
ce genre en permanence, dès que l'IP a été identifiée comme répondant
sur les ports 80 ou 443.

Tout ce que tu as à faire c'est de t'assurer que tes services sont
correctement sécurisés:

- que les applis sont à jour
- que les mots de passe sont suffisament robustes (pas de mot de passe
  par défaut ou trop simple (comme le 'qwert' de ton log ci-dessus).
- qu'il n'y a que les applis strictement nécessaires qui écoutent sur
  internet (cas typique les caches redis, ou les serveurs de base de
  données qui n'ont besoin que d'un socket unix s'ils sont sur la même
  machine que l'appli web).

Avec ce minimum, ta VM doit pouvoir resister aux attaques suffisament
bien pour te permettre de dormir tranquille (tout en te reveillant de
temps en temps pour faire ce qu'il faut pour maintenir le système à
jour).

Dans 99% des attaques réussies que je vois, l'une de ces trois règles
n'avait pas été suivie.

-- 
Matthieu Herrb
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 801 octets
Desc: non disponible
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20181220/c822afb8/attachment.sig>

Plus d'informations sur la liste de diffusion technique