Discussion:
apache2 + yahoo booters
(trop ancien pour répondre)
Doug713705
2010-12-29 09:41:52 UTC
Permalink
Bonjour à toutes, tous,

Depuis quelques jours je retrouve dans les logs d'apache2 des lignes du
style :

"GET
http://n5.login.re3.yahoo.com/config/login?login=DFVL&passwd=mypass012
HTTP/1.0" 302 597 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Series60/2.8
Nokia6630/4.06.0 Profile/MIDP-2.0 Configuration/CLDC-1.1)"

Après une recherche sur Internet, j'ai cru comprendre que ces
requètes étaient envoyés par des "yahoo booters" (??) qui seraient des
logiciels permettant de récupérer des login/mot de passe yahoo ou un
truc du genre.

Pour le moment j'ai bloqué ces requètes par plusieurs règles iptables
mais il est assez difficile de définir un motif suffisament générique
pour bloquer l'ensemble des requètes de ce type.

J'ai donc 3 questions :

1 - Quel est l'intérêt réèl de ce genre de requète puisque apache semble
simplement rediriger le client (code 302) vers la véritable url ?

2 - Pour quelle raison Apache ne renvoie t-il pas une erreur 404
alors que mod_proxy ne semble pas activé (mais je ne connais pas assez
bien debian [squeeze] pour être totalement affirmatif cependant il
n'apparait pas dans /etc/apache2/mods-enabled) ?

3 - Existe t-il un moyen plus efficace de bloquer ces requètes ?

Je suis à l'écoute de vos conseils et avis éclairés.

Merci.
--
@+
Doug - Linux user #307925 - Slackware64 roulaize ;-)
Usenet-fr ? Mais qu'est-ce que c'est ? Comment ça marche ?
Pour en savoir plus : http://www.dougwise.org/wiki
Denis Dordoigne
2010-12-29 10:41:31 UTC
Permalink
Bonjour,
Post by Doug713705
alors que mod_proxy ne semble pas activé (mais je ne connais pas assez
bien debian [squeeze] pour être totalement affirmatif cependant il
n'apparait pas dans /etc/apache2/mods-enabled) ?
Pour vérifier si le mod_poxy est actif, il faut fait un "apache2ctl -M",
cela affichgera les modules qui sont chargés.
--
Denis Dordoigne
Membre de l'April - promouvoir et défendre le logiciel libre - april.org
Rejoignez maintenant plus de 5 000 personnes, associations,
entreprises et collectivités qui soutiennent notre action
Doug713705
2010-12-29 10:45:26 UTC
Permalink
Post by Denis Dordoigne
Post by Doug713705
alors que mod_proxy ne semble pas activé (mais je ne connais pas assez
bien debian [squeeze] pour être totalement affirmatif cependant il
n'apparait pas dans /etc/apache2/mods-enabled) ?
Pour vérifier si le mod_poxy est actif, il faut fait un "apache2ctl -M",
cela affichgera les modules qui sont chargés.
Merci.

Du coup, j'affirme qu'il n'est pas actif :-)
--
@+
Doug - Linux user #307925 - Slackware64 roulaize ;-)
Usenet-fr ? Mais qu'est-ce que c'est ? Comment ça marche ?
Pour en savoir plus : http://www.dougwise.org/wiki
Patrick Mevzek
2011-01-10 23:00:14 UTC
Permalink
Post by Doug713705
1 - Quel est l'intérêt réèl de ce genre de requète puisque apache semble
simplement rediriger le client (code 302) vers la véritable url ?
Un test d'intrusion peut-être...
Post by Doug713705
2 - Pour quelle raison Apache ne renvoie t-il pas une erreur 404 alors
Parce que vous avez une directive ErrorDocument pour gérer les 404 ?
Post by Doug713705
3 - Existe t-il un moyen plus efficace de bloquer ces requètes ?
A part vérifier que votre propre serveur n'est pas vulnérable à l'attaque,
ou n'a pas déjà été exploité, il n'y a pas grand chose d'utile à faire,
même si vous mettez des filtres, les requêtes continueront d'arriver,
vous pouvez juste empêcher d'y répondre. Cependant cela n'arrête jamais,
il y a une nouvelle faille pour PHP en ce moment par exemple...

Mais je vous encourage à regarder le module Apache mod_security, il
propose de nombreuses fonctionnalités utiles.

Sinon vous pouvez tout à fait faire aussi des blocs
de <Location> avec des
order allow, deny
deny from all

dedans.
--
Patrick Mevzek . . . . . . . . . . . . . . Dot and Co
<http://www.dotandco.net/> <http://www.dotandco.com/>
<http://www.dotandco.net/ressources/icann_registrars/prices>
<http://icann-registrars-life.dotandco.net/>
Doug713705
2011-01-10 23:16:17 UTC
Permalink
Le 11/1/2011 00:00 dans fr.comp.infosystemes.www.serveurs Patrick
Post by Patrick Mevzek
Post by Doug713705
1 - Quel est l'intérêt réèl de ce genre de requète puisque apache semble
simplement rediriger le client (code 302) vers la véritable url ?
Un test d'intrusion peut-être...
Post by Doug713705
2 - Pour quelle raison Apache ne renvoie t-il pas une erreur 404 alors
Parce que vous avez une directive ErrorDocument pour gérer les 404 ?
Depuis oui, mais à l'époque non.
Post by Patrick Mevzek
Post by Doug713705
3 - Existe t-il un moyen plus efficace de bloquer ces requètes ?
A part vérifier que votre propre serveur n'est pas vulnérable à l'attaque,
ou n'a pas déjà été exploité, il n'y a pas grand chose d'utile à faire,
même si vous mettez des filtres, les requêtes continueront d'arriver,
vous pouvez juste empêcher d'y répondre. Cependant cela n'arrête jamais,
Oui, ceci dit, depuis que j'ai filtré avec iptables, le nombre quotidien
de requètes à chuté jusqu'à devenir nul.
Cependant, rien ne prouve que l'attaquant ne s'est pas lassé de lui
même indépendamment des dispositions que j'ai pu prendre.
Post by Patrick Mevzek
il y a une nouvelle faille pour PHP en ce moment par exemple...
Mais je vous encourage à regarder le module Apache mod_security, il
propose de nombreuses fonctionnalités utiles.
Sinon vous pouvez tout à fait faire aussi des blocs
de <Location> avec des
order allow, deny
deny from all
dedans.
Je vais regarder tout ça.
Merci.
--
@+
Doug - Linux user #307925 - Slackware64 roulaize ;-)
http://usenet-fr.dougwise.org
http://news.dougwise.org
Loading...