lecture des logs

[passion]

Bonjour,

Je suis étonné de voir ce genre d'entrée dans mes logs:

[Sat Aug 15 22:45:13 2009] [error] [client 210.83.81.80] File does not exist: /xxxxxxx/xxxx/xxxxxxx/upfile_flash.asp
[Sat Aug 15 22:45:14 2009] [error] [client 210.83.81.80] File does not exist: /xxxxxxx/xxxx/xxxxxxx/upfile_flash.asp
[Sat Aug 15 22:45:14 2009] [error] [client 210.83.81.80] File does not exist: /xxxxxxx/xxxx/xxxxxxx/admin

Ces pages n'existent pas sur mon serveur.
L'ip renvoi vers un site asiatique.

Est-ce des tentatives de hacking?

Merci

[polweb]

C'est clairement une tentative de hack

http://angrybyte.com/internet-news/the-lame-hacker-222-73-173-10/

Bonne chance

[passion]

merci beaucoup carrel pour ce complément d'info surtout que j'ai pu le retrouver sur un autre serveur !

A ton avis que puis-je faire à part bannir son Ip?

[jeanluc]

Des robots qui scrutent des serveurs au hasard, il y en a des tonnes et ce n'est pas la peine d'essayer de bloquer leurs IP. S'ils reçoivent une erreur "fichier n'existe pas", c'est que leur tentative de trouver un certain fichier a échoué.

La sécurité parfaite n'existe pas, mais on s'en rapproche en n'utilisant que des logiciels réputés pour leur robustesse et en maintenant à jour l'ensemble du serveur (système d'exploitation, serveur web, applications,...).

Jean-Luc

[otassel]

Des robots qui scrutent des serveurs au hasard, il y en a des tonnes et ce n'est pas la peine d'essayer de bloquer leurs IP. S'ils reçoivent une erreur "fichier n'existe pas", c'est que leur tentative de trouver un certain fichier a échoué.

La sécurité parfaite n'existe pas, mais on s'en rapproche en n'utilisant que des logiciels réputés pour leur robustesse et en maintenant à jour l'ensemble du serveur (système d'exploitation, serveur web, applications,...).

Jean-Luc

Je rejoins cette avis, cependant, ça ne mange pas de pain de bannir l'IP pour éviter une récidive. Je vous invite à installer sur votre serveur Fail2ban qui sert à bloquer une IP au bout de X récidives (entre autre).

[fandecine]

Faudrait peut-être pas oublier la vocation première d'un serveur WEB qui est quand même de servir des pages et non de bloquer l'accès à certaine IP !

Si tu commence à vouloir bloquer les IP qui scrutent le WEB (il y en a des tones !) ton serveur va passer son temps à faire le trie de ce qui est autorisé ou pas au détriment de sa vrai vocation et les performances s'en ressentiront. C'est vrai que ça ne mange pas de pain, juste des ressources

Si tes logiciels sont à jour, si tu respecte un temps soit peu les règles élémentaires de sécurité, tu n'as pas à te préoccuper de ce genre de chose. Il y a des menaces bien plus graves

[polweb]

Verifie que tes scripts sont à jour et que ton registrar global est à off, verifie aussi les droits sur les dossiers, pas de 777 par exemple.

Enfin faudrait faire un dossier sur le baba de la securité sur WRI

[otassel]

Si tes logiciels sont à jour, si tu respecte un temps soit peu les règles élémentaires de sécurité, tu n'as pas à te préoccuper de ce genre de chose. Il y a des menaces bien plus graves

Je ne vois pas les choses comme cela. Si tu commences à autoriser les scans (SSH, web,...), tu laisses la porte ouverte à la collecte d'informations concernant ton serveur ce qui va servir de base à une prochaine attaque. De plus, la stratégie du "laisser faire" consomme aussi des ressources serveur !

[fandecine]

on parlait du serveur HTTP uniquement (pas du ssh) et donc uniquement du port 80