Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1536 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Attaque sur serveur web. w00tw00t, Propfind... Site hors-ligne...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Attaque sur serveur web. w00tw00t, Propfind... Site hors-ligne...

n°1400359
jackall
Posté le 04-02-2017 à 13:52:04  profilanswer
 

Bonjour à tous,

 

Hier soir, avant d'aller me coucher, mon blog Wordpress fonctionnait parfaitement. Et ce matin au réveil > Erreur 500, aucune page ne s'affiche.

 

J'ai un serveur dédié chez OVH, avec Apache, sur Debian. Mes autres sites sur ce serveur fonctionnent (malgré quelques trucs louches quand même), seul mon blog affiche une erreur 500...

 

Il y a plein de choses étranges sur fichier .log d'apache.
Dont ceci:

 
Code :
  1. 46.105.117.120 - - [04/Feb/2017:10:11:51 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-"
 

J'ai donc suivi ce tuto. En espérant que ça suffise, que ça bannira direct les ip liées à ces attaques.

 


J'ai aussi vu ceci:

 
Code :
  1. 192.99.144.140 - - [04/Feb/2017:10:27:03 +0100] "PROPFIND /webdav/ HTTP/1.1" 405 568 "-" "WEBDAV Client"
 

ça, ça me fait un peu plus flipper... Est-ce que je devrais couper totalement mon WebDav, par sécurité? (je ne m'en sers pas vraiment).
Si je comprend bien... le gars à chercher à obtenir l'architecture de mon dossier WebDav, non?

 

Il y a aussi plein de méthodes GET un peu partout, de ce style:

 
Code :
  1. 64.79.100.43 - - [04/Feb/2017:10:52:34 +0100] "GET /manual HTTP/1.1" 301 555 "http://monsite.com/manual" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
  2. 78.199.142.88 - - [04/Feb/2017:11:27:40 +0100] "GET /dossier/mon-autre-site/dossier/sdk.js HTTP/1.1" 200 57933 "http://lien-de-mon-autre-site/dossier/dossier/index.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
 


J'ai d'ailleurs visiter cette URL: http://monsite.com/manual
Et je tombe sur le manuel d'Apache!  :heink:  :heink:  :pt1cable:

 

Comment se fait t'il qu'on puisse accéder au manuel Apache depuis un de mes site?  :heink: (d'ailleurs, le dossier de ce manuel a vraiment été scanné de fond en comble, d'après le log! avec forcément des retours "200", donc des succès de requêtes comme ce sont de simples pages HTML accessibles à tous...)
Comment retirer ça?

 

Aussi, sur mon log fail2ban, j'ai une succession de ligne de ce genre:

 
Code :
  1. 2017-02-04 02:21:39,459 fail2ban.actions[4884]: WARNING [ssh] Ban 82.236.44.137
  2. 2017-02-04 02:31:40,131 fail2ban.actions[4884]: WARNING [ssh] Unban 82.236.44.137
  3. 2017-02-04 03:33:13,285 fail2ban.actions[4884]: WARNING [ssh] Ban 193.248.171.175
  4. 2017-02-04 03:43:13,986 fail2ban.actions[4884]: WARNING [ssh] Unban 193.248.171.175
  5. 2017-02-04 09:57:56,747 fail2ban.actions[4884]: WARNING [ssh] Ban 77.251.57.59
  6. 2017-02-04 10:07:57,449 fail2ban.actions[4884]: WARNING [ssh] Unban 77.251.57.59
 

Pas sûr que ce soit la bonne question... Mais c'est normal qu'il ban une ip pour ensuite la débannir pile poil 10 minutes après?

 

Au final, une petite idée sur comment supprimer l'erreur 500 de mon blog..? Les fichiers sont toujours présents. La base de données n'a pas changée (apparemment)...

 


Merci d'avance à ceux qui me fileront un petit coup de main!

Message cité 1 fois
Message édité par jackall le 04-02-2017 à 15:28:00
mood
Publicité
Posté le 04-02-2017 à 13:52:04  profilanswer
 

n°1400363
bardiel
Debian powa !
Posté le 04-02-2017 à 15:04:58  profilanswer
 

jackall a écrit :

J'ai d'ailleurs visiter cette URL: http://monsite.com/manual
Et je tombe sur le manuel d'Apache!  :heink:  :heink:  :pt1cable:  
 
Comment se fait t'il qu'on puisse accéder au manuel Apache depuis un de mes site?  :heink: (d'ailleurs, le dossier de ce manuel a vraiment été scanné de fond en comble, d'après le log! avec forcément des retours "200", donc des succès de requêtes comme ce sont de simples pages HTML accessibles à tous...)
Comment retirer ça?


Configuration de base d'Apache [:spamatounet]  
Il faut que tu regardes la conf d'Apache (  /etc/apache2/sites-available/default ) et que tu vires la partie dédiée au manuel, ou alors en te connectant sur ton serveur :

a2dissite manual
service httpd restart


Cela va désactivé le virtual host lié à ton adresse "blabla.com/manual", et la 2ème ligne est là pour relancer le serveur bien proprement sans devoir redémarrer le serveur.

jackall a écrit :

Aussi, sur mon log fail2ban, j'ai une succession de ligne de ce genre:
 

Code :
  1. 2017-02-04 02:21:39,459 fail2ban.actions[4884]: WARNING [ssh] Ban 82.236.44.137
  2. 2017-02-04 02:31:40,131 fail2ban.actions[4884]: WARNING [ssh] Unban 82.236.44.137
  3. 2017-02-04 03:33:13,285 fail2ban.actions[4884]: WARNING [ssh] Ban 193.248.171.175
  4. 2017-02-04 03:43:13,986 fail2ban.actions[4884]: WARNING [ssh] Unban 193.248.171.175
  5. 2017-02-04 09:57:56,747 fail2ban.actions[4884]: WARNING [ssh] Ban 77.251.57.59
  6. 2017-02-04 10:07:57,449 fail2ban.actions[4884]: WARNING [ssh] Unban 77.251.57.59


 
Pas sûr que ce soit la bonne question... Mais c'est normal qu'il ban une ip pour ensuite la débannir pile poil 10 minutes après?


Comportement par défaut de fail2ban [:spamatounet]  
Regarde dans le  /etc/fail2ban/jail.conf à la ligne "bantime =", tu as le nombre de secondes pour le ban par défaut.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1400367
jackall
Posté le 04-02-2017 à 15:40:55  profilanswer
 

Merci à toi pour la réponse!
 
Je l'avait pas précisé mais le serveur est sur Debian.
 
Pour fail2ban, c'est ok, j'ai pu réglé ça sur 1 jour.
 
En revanche, pour l'histoire du manuel... j'ai rien trouvé dans la conf d'apache qui soit lié au manuel...
Et en suivant ta commande:

Code :
  1. Site manual does not exist!


 
Je vois pas où chercher...
Et je précise que je suis un débutant ^^
 
 
Aussi, avant tout le reste, sur le log d'apache, il y a un tas de ligne de ce genre:

Code :
  1. 127.0.0.1 - - [04/Feb/2017:07:25:01 +0100] "GET / HTTP/1.1" 200 10975 "-" "Mozilla/5.0 (ISPConfig monitor)"
  2. 127.0.0.1 - - [04/Feb/2017:07:30:01 +0100] "GET / HTTP/1.1" 200 10975 "-" "Mozilla/5.0 (ISPConfig monitor)"


 
Très honnêtement, je ne sais pas ce que c'est :P Tout ce que je sais, c'est que je dormais à cette heure là! Donc c'est pas moi :D

n°1400368
bardiel
Debian powa !
Posté le 04-02-2017 à 16:41:57  profilanswer
 

ça m'a l'air d'être les signatures pour le monitoring inclut dans ISPConfig ça... et ça serait plus à voir avec le support OVH pour savoir si ce n'est pas par hasard leur monitoring qui fait de fausses alertes chez toi en plus de tes alertes avec woot woot.
 
Pour le manuel, "au pire" recherche le httpd.conf (il peut se trouver dans /usr/local/apache/conf/ ) et tu supprimes l'alias qui mène à la doc, la ligne :

Alias /manual/ "/usr/local/apache/htdocs/manual/"


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1400370
jackall
Posté le 04-02-2017 à 18:21:28  profilanswer
 

ISPConfig, on est d'accord, c'est une sorte de Webmin, c'est ça?
ça s'installe automatiquement? Je ne me souviens plus l'avoir installé et je ne l'utilise pas (de toute façon je n'arrive pas à y accéder), j'utilise Webmin...
 
Pour la doc, c'était dans /etc/apache2/conf-available/apache2-doc.conf:
 

Code :
  1. Alias /manual /usr/share/doc/apache2-doc/manual/
  2. <Directory "/usr/share/doc/apache2-doc/manual/">
  3.     Options Indexes FollowSymlinks
  4.     AllowOverride None
  5.     Require all granted
  6.     AddDefaultCharset off
  7. </Directory>


 
J'ai tout commenté.

n°1400371
jackall
Posté le 04-02-2017 à 19:02:57  profilanswer
 

Ah si, en fait c'est moi qui avait installé ISPconfig lors de la première configuration du serveur. Mais j'arrive pas a y accéder... Et j'utilise donc Webmin. Je peux supprimer ISPconfig sans problème?

n°1400380
bardiel
Debian powa !
Posté le 05-02-2017 à 08:39:53  profilanswer
 

Regarde la doc mais oui.
ISPConfig et Webmin c'était un peu doublon...


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1400383
jackall
Posté le 05-02-2017 à 11:27:12  profilanswer
 

D'accord. Je vais essayer d'en supprimer un des deux alors.
 
Bon finalement ça a pas mal avancé:
- Bannissement des IP d'attaque w00t.
- "Suppression" de la doc Apache.
- Augmentation de la durée des ban de fail2ban.
- Mon site refonctionne après avoir changer les permissions du wp-config.php de Wordpress (en fait, si j'ai eu l'impression que ça fonctionnait la veille, c'était peut-être à cause du système de cache... Mais pas sûr... je me méfie quand même!).
 
Merci à toi!
 
En gros il reste ce "PROPFIND" lié à Webdav... qui, même si Apache retourne un code d'erreur négatif, m'intrigue quand même!


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Attaque sur serveur web. w00tw00t, Propfind... Site hors-ligne...

 

Sujets relatifs
Serveur sur WSL(Bash Ubuntu @Windows) ou VM/DebianHeberger un site sois méme sur Ubuntu Avec Apache2
[bash] faire une boucle for sur une seul ligneErreur "File not found" serveur
[DEBIAN] Serveur HP et Linux DEBIANScripts maintenance d'un serveur
Booter windows 98 avec un serveur PXE à base de raspberry piserveur type reverse proxy pour proces autre que http/https/etc?
Requete DNS redirigée vers un autre serveur DNSVPN PPTP Acces réseau local client par serveur
Plus de sujets relatifs à : Attaque sur serveur web. w00tw00t, Propfind... Site hors-ligne...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR