web-dev-qa-db-fra.com

Apache (XAMPP 1.8.0) access.log / Problème de détection d'intrusion

[Au départ, j'avais posté sur SO, mais cela m'a valu un badge Tumbleweed. Cela ressemble à un meilleur endroit pour la question.]

J'ai Apache (XAMPP 1.8.0) sous Vista Pro x64. Quelques fois maintenant, j'ai vu un motif tel que l'exemple ci-dessous dans access.log. "L'attaque" semble en quelque sorte passer d'une adresse IP publique à une adresse IP privée valide sur mon réseau (il s'agit de l'adresse WAN de l'un de mes routeurs).

Deux questions: comment est-ce possible et que se passe-t-il si "l'attaquant" bute sur une requête valide?

J'ai googlé cela en vain.

177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.4/index.php HTTP/1.1" 403 
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.5-rc1/index.php HTTP/1.1" 403 
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.2.6/index.php HTTP/1.1" 403 
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.5-rc2/index.php HTTP/1.1" 403 
192.168.15.3 - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.6-rc2/index.php HTTP/1.1" 403 
177.0.X.X - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.6-rc1/index.php HTTP/1.1" 403 
177.0.X.X - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 403 
192.168.15.3 - - [03/Jun/2012:08:19:59 -0400] "GET /phpMyAdmin-2.5.7/index.php HTTP/1.1" 403 
192.168.15.3 - - [03/Jun/2012:08:20:01 -0400] "GET /phpMyAdmin-2.5.7-pl1/index.php HTTP/1.1" 403 
192.168.15.3 - - [03/Jun/2012:08:20:02 -0400] "GET  HTTP/1.1" 400 1060 "-" "-"
1
andy holaday

Cela dépend peut-être de la configuration de XAMP avec votre serveur local et de la configuration de l'acheminement pour envoyer du trafic Web à votre serveur.

Il est en fait courant de voir des robots analyser votre serveur à la recherche de vulnérabilités et de scripts courants tels que phpMyAdmin.

Sur linux, je les ajouterais à hosts.deny. Dans Apache, vous pouvez les interdire avec votre fichier .htaccess.

Si les attaques sont internes, vérifiez votre routeur et voyez qui a ces IP sur votre réseau.

2
Anagio