[technique] attaque brute force sur VM ?

Philippe Latu philippe.latu at inetdoc.net
Jeu 20 Déc 13:43:50 CET 2018 

Le 20/12/2018 à 13:19, Matthieu Herrb via technique a écrit :
> On Thu, Dec 20, 2018 at 12:26:26PM +0100, Samuel via technique wrote:
>> Salut,
>>
>> je remarque ce matin des messages bizarres dans mes logs apache, des trucs
>> comme ça :
>>
>> dans /var/log/apache2/access.log :
>>
>> 193.112.58.20 - - [20/Dec/2018:06:27:37 +0100] "GET
>> /phpmyadmin/index.php?pma_username=root&pma_password=qwert&server=1
>> HTTP/1.1" 200 10998 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:48.0)
>> Gecko/20100101 Firefox/48.0"
>>
>> et dans /var/log/apache2/error.log :
>>
>> [Thu Dec 20 06:26:17.406724 2018] [:error] [pid 4882] [client
>> 193.112.58.20:22572] script '/var/www/html/toor.php' not found or unable to
>> stat
>>
>> Un Whois sur l'IP donne un site chinois tencent.com de pub en ligne.
>>
>> Dans access.log j'ai des lignes comme ça à la pelle, ça ressemble à une
>> brute force... non ?
>>
> Salut,
>
> Bienvenue dans le monde réel. Si tu as un serveur web ouvert sur
> l'internet, tu as forcément des dizaines de tentatives d'attaques de
> ce genre en permanence, dès que l'IP a été identifiée comme répondant
> sur les ports 80 ou 443.
>
> Tout ce que tu as à faire c'est de t'assurer que tes services sont
> correctement sécurisés:
>
> - que les applis sont à jour
> - que les mots de passe sont suffisament robustes (pas de mot de passe
>    par défaut ou trop simple (comme le 'qwert' de ton log ci-dessus).
> - qu'il n'y a que les applis strictement nécessaires qui écoutent sur
>    internet (cas typique les caches redis, ou les serveurs de base de
>    données qui n'ont besoin que d'un socket unix s'ils sont sur la même
>    machine que l'appli web).
>
> Avec ce minimum, ta VM doit pouvoir resister aux attaques suffisament
> bien pour te permettre de dormir tranquille (tout en te reveillant de
> temps en temps pour faire ce qu'il faut pour maintenir le système à
> jour).
>
> Dans 99% des attaques réussies que je vois, l'une de ces trois règles
> n'avait pas été suivie.

Je suis tombé sur le site suivant : 
https://infosec-handbook.eu/blog/wss1-basic-hardening/

Il s'adresse aux débutants et il propose une démarche pas à pas de 
durcissement de son système et des services.


Mes 2€cts,

>
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique

-- 
- P h i l i p p e   L a t u
--
https://inetdoc.net

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20181220/c1d024c1/attachment.htm>

Plus d'informations sur la liste de diffusion technique