savoir si une attaque a aboutie ou pas

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

savoir si une attaque a aboutie ou pas

Messagepar tontonrico » 29 Avr 2004 15:17

Bonjour,

J'ai un serveur (hhtp,smtp) perso et j'ai aujourd'hui détecté une activité plutôt suspecte dans mes logs de apache...:-((.

J'ai tout de suite déconnecté mon serveur parce que c'était vraiment trop louche !

Sachant que je n'ai pas mis en place d'IDS, je me demande comment savoir ce qu'il s'est passé exactement en utilisant le logs à ma disposition (http, smtp).

Si quelqu'un a des infos sur l'analyse des logs à faire, merci d'avance !!
tontonrico
Matelot
Matelot
 
Messages: 9
Inscrit le: 29 Avr 2004 15:07

Messagepar neerd » 29 Avr 2004 17:43

Tu peux déjà poster les lignes suspectes de tes logs pour avoir un avis sur la "suspect-ude" de la chose.
Avatar de l’utilisateur
neerd
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 05 Oct 2003 00:00
Localisation: Derrière toi ....

Messagepar tontonrico » 30 Avr 2004 09:24

Salut,

Voici le genre de message dans le access_log de mon serveur apache (xxx.xxx.xxx.xxx est l'adresse source, fichier1 à fichier3 sont des fichiers présents sur l'arborescence de ma machine):

xxx.xxx.xxx.xxx - - [29/Apr/2004:10:14:24 +0200] "OPTIONS fichier1 fichier2 fichier3 HTTP/1.0"
200 0 "-" "-"

Qu'en pensez-vous ?
tontonrico
Matelot
Matelot
 
Messages: 9
Inscrit le: 29 Avr 2004 15:07

Messagepar neerd » 30 Avr 2004 13:46

Tiens je connaissais même pas la requête OPTIONS ...

Bon voilà:
9.2 OPTIONS

The OPTIONS method represents a request for information about the
communication options available on the request/response chain
identified by the Request-URI. This method allows the client to
determine the options and/or requirements associated with a resource,
or the capabilities of a server, without implying a resource action
or initiating a resource retrieval.

Unless the server's response is an error, the response MUST NOT
include entity information other than what can be considered as
communication options (e.g., Allow is appropriate, but Content-Type
is not). Responses to this method are not cachable.

If the Request-URI is an asterisk ("*"), the OPTIONS request is
intended to apply to the server as a whole. A 200 response SHOULD
include any header fields which indicate optional features
implemented by the server (e.g., Public), including any extensions
not defined by this specification, in addition to any applicable
general or response-header fields. As described in section 5.1.2, an
"OPTIONS *" request can be applied through a proxy by specifying the
destination server in the Request-URI without any path information.

If the Request-URI is not an asterisk, the OPTIONS request applies
only to the options that are available when communicating with that
resource. A 200 response SHOULD include any header fields which
indicate optional features implemented by the server and applicable
to that resource (e.g., Allow), including any extensions not defined
by this specification, in addition to any applicable general or
response-header fields. If the OPTIONS request passes through a
proxy, the proxy MUST edit the response to exclude those options
which apply to a proxy's capabilities and which are known to be
unavailable through that proxy.

tiré de la rfc HTTP
http://www.ietf.org/rfc/rfc2068.txt

Donc il semblerait que ce ne soit pas une attaque, mais il est quand même étrange de voir ce genre de requêtes.
Avatar de l’utilisateur
neerd
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 05 Oct 2003 00:00
Localisation: Derrière toi ....

Messagepar tontonrico » 03 Mai 2004 13:23

Salut,

Et bien merci pour ces infos ! Je n'ai meme pas regardé la RFC pour savoir ce que c'etait que cette requete, honte à moi !

Il semble que mon serveur n'est pas été compromis, cependant c'est le genre de requete que font des gens mal intentionnés histoire de voir la config du serveur.

A +
tontonrico
Matelot
Matelot
 
Messages: 9
Inscrit le: 29 Avr 2004 15:07


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron