Bonjour

J'ai deux choses qui m'intriguent dans les logs apache.
J'ai eu des visites de sites référencés comme ancien style arpanet (arpa),
c'est qui?
J'ai vu ensuite que certaines visites étaient l'occasion du passage au
peigne fin des script php. Est-ce inquiétant?

merci

ilotier wrote:
> Bonjour
Bonjour,
> J'ai deux choses qui m'intriguent dans les logs apache.
> J'ai eu des visites de sites référencés comme ancien style arpanet (arpa),
> c'est qui?
dans le genre "1.0.168.192.in-addr.arpa"? Si c'est ça c'est probablement un
user derriere un proxy étrangement configuré... Une autre hypothèse?
J'en ai déjà vu...

> J'ai vu ensuite que certaines visites étaient l'occasion du passage au
> peigne fin des script php. Est-ce inquiétant?
ça peut... Tout dépend si ton php et/ou l'appli php est à jour (bien conçue
pour un truc maison)...
Les failles dans des produit php (et autres) sont nombreuses, il y pas mal
de vers et de script kiddies qui cherchent ces installs vulnérables...

Toujours bon de verifier que tout est à jour (Apache, php, appli, OS, ...)
et de jeter un oeil sur mod_security.
Petite note sur mod_security: TOUT tester après install, il est un peu
aggressif sur certaines choses. Anxieux? Dans ce cas je déconseille de lire
ses logs ;-)

A+
--
MaXX

Salut,

On Sat, 19 Nov 2005 15:49:29 +0100, ilotier <ilo@thiais.com> wrote:

> J'ai deux choses qui m'intriguent dans les logs apache.
> J'ai eu des visites de sites référencés comme ancien style arpanet
> (arpa), c'est qui?

Les adresses in-addr.arpa sont utilisées pour les "reverse DNS", i.e. la
correspondance IP -> nom. Par exemple pour trouver le "nom" de 1.2.3.4 on
cherche la valeur de l'enregistrement PTR pour 4.3.2.1.in-addr.arpa. Si
celui qui a édité la zone a oublié le point final à la fin du PTR (genre
serveur.toto.com au lieu de serveur.toto.com.), alors la résolution
inverse de 1.2.3.4 donnera serveur.toto.com.3.2.1.in-addr.arpa au lieu de
serveur.toto.com.

> J'ai vu ensuite que certaines visites étaient l'occasion du passage au
> peigne fin des script php. Est-ce inquiétant?

Plus de détails pour qu'on puisse comprendre le "problème" seraient les
bienvenus.

Jacques.
--
Oxado http://www.oxado.com/

MaXX a écrit le Samedi 19 Novembre 2005 16:28:

>
> Toujours bon de verifier que tout est à jour (Apache, php, appli, OS, ...)
> et de jeter un oeil sur mod_security.
> Petite note sur mod_security: TOUT tester après install, il est un peu
> aggressif sur certaines choses. Anxieux? Dans ce cas je déconseille de
> lire ses logs ;-)
>

Ah oui je suis d'accord avec vous. Depuis que j'ai mis le nez dedans je tend
vers la parano excessive.. Quand je vous d'où viennent les visiteurs
surtout.

Jacques Caron a écrit le Samedi 19 Novembre 2005 23:33:

> Salut,
>
> On Sat, 19 Nov 2005 15:49:29 +0100, ilotier <ilo@thiais.com> wrote:
>
>> J'ai deux choses qui m'intriguent dans les logs apache.
>> J'ai eu des visites de sites référencés comme ancien style arpanet
>> (arpa), c'est qui?
>
> Les adresses in-addr.arpa sont utilisées pour les "reverse DNS", i.e. la
> correspondance IP -> nom. Par exemple pour trouver le "nom" de 1.2.3.4 on
> cherche la valeur de l'enregistrement PTR pour 4.3.2.1.in-addr.arpa. Si
> celui qui a édité la zone a oublié le point final à la fin du PTR (genre
> serveur.toto.com au lieu de serveur.toto.com.), alors la résolution
> inverse de 1.2.3.4 donnera serveur.toto.com.3.2.1.in-addr.arpa au lieu de
> serveur.toto.com.
>
>> J'ai vu ensuite que certaines visites étaient l'occasion du passage au
>> peigne fin des script php. Est-ce inquiétant?
>
> Plus de détails pour qu'on puisse comprendre le "problème" seraient les
> bienvenus.
>
> Jacques.

Merci pour les explications, c'est très clair.
En fait c'est un portail mambo (qui comporte pas mal de php) qui est très
souvent décortiqué par la même personne (chello.at). Il ne regarde que les
php mambots (modules des fonctions du site).
Pour dormir un peu plus tranquille j'ai retiré ce portail.

MaXX a écrit le Samedi 19 Novembre 2005 16:28:

> ilotier wrote:
>> Bonjour
> Bonjour,
>> J'ai deux choses qui m'intriguent dans les logs apache.
>> J'ai eu des visites de sites référencés comme ancien style arpanet
>> (arpa), c'est qui?
> dans le genre "1.0.168.192.in-addr.arpa"? Si c'est ça c'est probablement
> un user derriere un proxy étrangement configuré... Une autre hypothèse?
> J'en ai déjà vu...
>
>> J'ai vu ensuite que certaines visites étaient l'occasion du passage au
>> peigne fin des script php. Est-ce inquiétant?
> ça peut... Tout dépend si ton php et/ou l'appli php est à jour (bien
> conçue pour un truc maison)...
> Les failles dans des produit php (et autres) sont nombreuses, il y pas
> mal
> de vers et de script kiddies qui cherchent ces installs vulnérables...
>
> Toujours bon de verifier que tout est à jour (Apache, php, appli, OS, ...)
> et de jeter un oeil sur mod_security.
> Petite note sur mod_security: TOUT tester après install, il est un peu
> aggressif sur certaines choses. Anxieux? Dans ce cas je déconseille de
> lire ses logs ;-)
>
> A+
Ah oui je suis d'accord avec vous. Depuis que j'ai mis le nez dedans je tend
vers la parano excessive.. Quand je vois d'où viennent les visiteurs
surtout.

ilotier wrote:
[...]
> Merci pour les explications, c'est très clair.
> En fait c'est un portail mambo (qui comporte pas mal de php) qui est très
> souvent décortiqué par la même personne (chello.at). Il ne regarde que les
> php mambots (modules des fonctions du site).
> Pour dormir un peu plus tranquille j'ai retiré ce portail.
Vous avez bien fait...
http://isc.sans.org/diary.php?storyid=870 (en anglais)
Exploit Mambo confirmé

--
MaXX

MaXX a écrit le Mardi 22 Novembre 2005 11:49:

> ilotier wrote:
> [...]
>> Merci pour les explications, c'est très clair.
>> En fait c'est un portail mambo (qui comporte pas mal de php) qui est très
>> souvent décortiqué par la même personne (chello.at). Il ne regarde que
>> les php mambots (modules des fonctions du site).
>> Pour dormir un peu plus tranquille j'ai retiré ce portail.
> Vous avez bien fait...
> http://isc.sans.org/diary.php?storyid=870 (en anglais)
> Exploit Mambo confirmé
>
Comme quoi on fait bien de faire attention.