[Au départ, j'avais posté sur SO, mais cela m'a valu un badge Tumbleweed. Cela ressemble à un meilleur endroit pour la question.]
J'ai Apache (XAMPP 1.8.0) sous Vista Pro x64. Quelques fois maintenant, j'ai vu un motif tel que l'exemple ci-dessous dans access.log
. "L'attaque" semble en quelque sorte passer d'une adresse IP publique à une adresse IP privée valide sur mon réseau (il s'agit de l'adresse WAN de l'un de mes routeurs).
Deux questions: comment est-ce possible et que se passe-t-il si "l'attaquant" bute sur une requête valide?
J'ai googlé cela en vain.
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.4/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.5-rc1/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.2.6/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.5-rc2/index.php HTTP/1.1" 403
192.168.15.3 - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.6-rc2/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.6-rc1/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 403
192.168.15.3 - - [03/Jun/2012:08:19:59 -0400] "GET /phpMyAdmin-2.5.7/index.php HTTP/1.1" 403
192.168.15.3 - - [03/Jun/2012:08:20:01 -0400] "GET /phpMyAdmin-2.5.7-pl1/index.php HTTP/1.1" 403
192.168.15.3 - - [03/Jun/2012:08:20:02 -0400] "GET HTTP/1.1" 400 1060 "-" "-"
Cela dépend peut-être de la configuration de XAMP avec votre serveur local et de la configuration de l'acheminement pour envoyer du trafic Web à votre serveur.
Il est en fait courant de voir des robots analyser votre serveur à la recherche de vulnérabilités et de scripts courants tels que phpMyAdmin.
Sur linux, je les ajouterais à hosts.deny. Dans Apache, vous pouvez les interdire avec votre fichier .htaccess.
Si les attaques sont internes, vérifiez votre routeur et voyez qui a ces IP sur votre réseau.