cat

Est-ce que quelqu'un sait ce que c'est, ça : http://d.seesmic.com/sdp/ClientBin/SD2.xap ?

Mes logs sont pleins de requêtes (350 cette semaine) venant de cette « chose ».
Apparemment, c'est un contenu Silverlight… (.xap)

Je sais pas ce que c'est… Un aspirateur de site Web ? un spammeur ? un petit con qui s'amuse ?

Est-ce lié à l'abruti qui fait des recherches et qui tente de trouver coûte-que-coûte un répertoire « php my admin » sur mon site ? Il ferait mieux de laisser tomber : y'en a pas. J'utilise aucun SGBD.

Mes logs sont pleines d'erreurs 404 sur ces dossiers :


//phpMyAdmin-2.6.4/scripts/setup.php
//websql/scripts/setup.php
//typo3/phpmyadmin/scripts/setup.php
/tuto/reshacker/tutoreshacker.html
//phpMyAdmin-2.7.0-pl1/scripts/setup.php
//admn/scripts/setup.php
//webdb/scripts/setup.php
/tuto/opera/logo.png
/blogotext/semanais.aspx
//phpMyAdmin-2.8.1-rc1/scripts/setup.php
//phpMyAdmin-2.6.0-beta2/scripts/setup.php
//phpMyAdmin-2.5.5-rc1/scripts/setup.php
//phpMyAdmin-2.5.7-pl1/scripts/setup.php
//admin/scripts/setup.php
//phpMyAdmin-2.8.0.4/scripts/setup.php
/blogotext/archives/blogotext26_11-04-24.7z
//phpMyAdmin-2.6.0-pl3/scripts/setup.php
//phpMyAdmin-2.6.4-pl3/scripts/setup.php
//phpMyAdmin-2.8.0.2/scripts/setup.php
//phpMyAdmin-2.6.1/scripts/setup.php
//phpMyAdmin-2.6.1-rc2/scripts/setup.php
/pokemon/invinciblemunja
//phpMyAdmin-2.6.0-rc1/scripts/setup.php
//phpMyAdmin-2.6.0-alpha/scripts/setup.php
//phpadmin/scripts/setup.php
/blogotext/blogotext.zip
//sqlmanager/scripts/setup.php
//phpmyadmin2/scripts/setup.php
/muieblackcat
//phpMyAdmin-2.6.1-pl2/scripts/setup.php
//phpMyAdmin-2.6.1-pl3/scripts/setup.php
/index/logo.png
//phpmanager/scripts/setup.php
/core/admin
//admm/scripts/setup.php
//phpMyAdmin-2.7.0-rc1/scripts/setup.php
/wp-login.php
//databaseadmin/scripts/setup.php
//admin/pma/scripts/setup.php
//phpMyAdmin-2.6.0/scripts/setup.php
//phpMyAdmin-2.2.3/scripts/setup.php
//phpMyAdmin-2.5.5-pl1/scripts/setup.php
//phpMyAdmin-2.5.7/scripts/setup.php
//phpMyAdmin-2.7.0/scripts/setup.php
//phpMyAdmin-2.6.1-pl1/scripts/setup.php
/admin/categories.php/login.php
//phpMyAdmin-2.6.4-pl4/scripts/setup.php
//phpMyAdmin-2.6.2-beta1/scripts/setup.php
//phpMyAdmin-2.6.0-pl1/scripts/setup.php
/linux/ccsm.%20php
//phpMyAdmin-2.6.4-rc1/scripts/setup.php
//phpMyAdmin-2.8.2/scripts/setup.php
/linux/imgpod/skipfish:%2F%2Finvalid%2F%3B%3F
/tuto/opera/by2.png
//phpMyAdmin-2.6.3-pl1/scripts/setup.php
//phpMyAdmin-2.8.0.3/scripts/setup.php

Et ces sites russes (eux aussi plein mes logs des refferrers) ??:


senauka.ru
www.ler-bochka.ru
www.gamehram.ru
healthedmeds.com
rubanke.ru
uastroyka.ru
uadelo.ru
goodseasons.ru
dofega.ru/tags/e-book/
buyground.ru
studypoetry.ru
download-skype.ru
spacience.ru
blaunkon.narod2.ru/work-799240.html
dofega.ru/tags/2009/page/7/
www.casinoz.ru/content/kazino-wynn-las-vegas-v-las-vegase...
www.casinoz.ru/strategy/systema-scheta-kart-highlow.html
nuplaked.narod2.ru/index-8-4.html
barkulen.narod2.ru/work-159129.html
www.intimsexshop.ru/nhe154cat1211p1/
www.casinoz.ru/content/perekrestnye-stavki-v-ruletke-203....
www.casinoz.ru/casino/Aspinalls-casino.html
www.intimsexshop.ru/nhe154cat13141p1/
dofega.ru
dofega.ru/tags/%D3%E6%E0%F1%FB/
hetraining.ru
www.allsexphone.com
www.intimsexshop.ru/nhe154cat99998711p1/
xxx-porn.ru

Si on peut plus bloguer tranquillement…

image de 2-dog-farm

18 commentaires

gravatar
Nicolas a dit :

C'est pas connaitre la BDD le problème, c'est de trouver une version de PHPmyAdmin qui contient une faille.

gravatar
flop25 a dit :

pour y trouver une faille éventuelle à coup d'injection sql

sinon oui il s'agit de seesmic desktop 2

gravatar
Le Hollandais Volant a dit :

Ah, un agrégateur/twitter/etc. pour tout donc, seesmic ?

Mais à moins que 300 personnes se sont mis à l'utiliser d'un coup, c'est bien un produit basé sur du M$ : des tonnes de requêtes pour un simple suivi RSS.
Presque comme Windows Live Search…

Mouarf.

@Nicolas : oui, c'est bien ça.

Reste à trouver l'origine de tout ça…

gravatar
Kalouty a dit :

Je n'ai rien compris mais j'aime quand même ton blog.

gravatar
Anonyme a dit :

Salut Timo,

Essaye de crée un fichier .htaaccess avec ça:

Order Deny,Allow
Deny from all
Allow from VOTRE_IP


Dans VOTRE_IP tu met ton IP, fait en sorte qu'elle soit fixe. Et la plus personne ne trouvera ta page admin, à part ton IP, donc toi.

Voilà.

gravatar
Le Hollandais Volant a dit :

@ELK Fayçal : sympa cette astuce, j'y aurais pas pensé^^.
Mais ça m'empêcherait de publier depuis ailleurs (université, wifi du McDo, etc.).

Et ce n'est pas sans failles : il suffit de changer les http headers pour falsifier l'IP (qu'on me corrige si je me trompe).

De plus, mon IP est dynamique…


Cela dit, je peux ajouter un mot de passe Apache (via htpasswd) en plus du mot de passe PHP pour la session, ce qui serait totalement overkill, vu que mon dossier admin est déjà dans un dossier avec un nom bizarre, qu'il y'a un mot de passe PHP, une captcha, un délai anti bruteforce.

Si j'ajoute un système à la fail2ban, en PHP (création du fichier .htaccess au bout de X tentatives), ça permet une sécurité, disons, relativement bonne^^.

gravatar
Anonyme a dit :

@Le Hollandais Volant : Oui, c'est l’inconvénient de mon astuce...

Et ce n'est pas sans failles : il suffit de changer les http headers pour falsifier l'IP (qu'on me corrige si je me trompe).


Abusé. Pas tout le monde sait le faire ça...


Cela dit, je peux ajouter un mot de passe Apache (via htpasswd) en plus du mot de passe PHP pour la session, ce qui serait totalement overkill, vu que mon dossier admin est déjà dans un dossier avec un nom bizarre, qu'il y'a un mot de passe PHP, une captcha, un délai anti bruteforce.


Pas évident, taper 2 mot de passe pour accéder à la session admin... le mieux j'pense c'est de crée des dossiers qui n'ont rien à voir avec le mot admin, genre en entrant des noms communs comme :

http:// monsite.fr/admin
http:// monsite.fr/backoffice
http:// monsite.fr/administration
http:// monsite.fr/gerer

un dossier admin qui porte le nom d'une star pornographique par exemple:

monsite/porno/pamela/anderson

^^

gravatar
Le Hollandais Volant a dit :

J'ai déjà ce système : le dossier d'aministration de blogotext peut être renommé comme on veut sans poser de problèmes.

Par défaut, c'est le dossier /admin, mais je l'ai renommé depuis bien longtemps^^.

Le seul problème, c'est qu'on peut détecter ça en analysant les headers et requêtes envoyés par mon navigateur.
D'où mon idée d'utiliser un site en HTTPS : les requêtes sont alors chiffrées.

Mais comme tu dis, ça va bien au dela de la sécurité dont j'ai besoin.

gravatar
Nicolas a dit :

Depuis quand il y a l'IP de l’émetteur dans les requêtes HTTP ? Il y a bien cette info si on passe par un proxy (qui est falsifiable), mais un script bien codé ne se fait pas avoir par ça.

gravatar
Le Hollandais Volant a dit :

http://www.anonymat.org/vostraces/index.php

L'ip est la première chose qu'on l'on récupère^^.
Il faut bien que le serveur connaisse le destinataires à qui envoyer la page, auteur de la requête, non ?

Sans IP, base même de l'adressage d'Internet, je vois pas trop comment tu peux faire…


MAJ : j'ai regardé un peu les logs et les IP responsables sont toutes françaises. Elles viennent de serveurs situés chez OVH…

gravatar
Horyax a dit :

Serais tu un ennemi du gouvernement Timo :° On cherche peut être à te soustraire. Attention.

Personnellement, je ne trouve pas ça étonnant mais inquiétant.

gravatar
Le Hollandais Volant a dit :

Oh, je pense pas que je sois la cible de ce genre de magouilles du Gouvernement ou de la DGSE.

Je pense plutôt un con qui s'amuse, surtout que les requêtes lancés sur les dossiers PhpMyAdmin se font à la volée, genre 10000 requêtes en quelques instants un soir et recommencent le lendemain…

Vu qu'OVH est depuis peu un FAI, et vu que les rafales de requêtes viennent chaque fois d'une IP différente, il se peut bien que ce rigolo soit client chez eux avec une IP dynamique.

Ce ne sont pas des requêtes du type DDOS, où chaque élément vient d'une IP différente.

Mais je peux me tromper…
Peut-être que les FBI en a contre moi…

gravatar
R2-D4 a dit :

De plus, mon IP est dynamique…
Orange...je me trompe?

Ce sont des c*nnards et des voleurs...

gravatar
silverfly a dit :

Et si tu mettais une fake page admin pour voir se qu'il essaie de faire?
avec des fausses failles? :D

Sa pourrait être marrant

gravatar
Nicolas a dit :

Alors deux choses parce qu'il y a petit malentendu :

Quand je parle d'en-tête HTTP je pense vraiment à l'en-tête HTTP (couche application) et pas à l'IP contenue dans la couche réseau. Donc non on ne peux pas falsifier l'IP en modifiant le header puisque cette information n'est pas présente.

Pour ton problème de scan ne te prend pas la tête c'est normal. C'est comme si tu laisses ton dédié sans analyseur de log, perso en 3 jours j'ai 22000 tentatives de bruteforce. De plus ce n'est peut-être pas un petit malin, mais bien un serveur infecté qui est enrôlé dans un botnet, c'est très fréquent. Faut faire avec parce que tu en auras toujours. Par contre ce que tu peux faire c'est envoyer un abuse à OVH.
Je me suis fais un script shell qui détecte automatiquement les tentatives de bruteforce de mon réseau (dédibox) pour envoyer un abuse à chaque fois. La plus part du temps les propriétaires me remercient de leur signaler que le serveur est infecté.

Les commentaires sont fermés pour cet article