You cannot select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
blog/posts/2010/2010-08-05-un-peu-de-securi...

66 lines
3.2 KiB
Markdown

This file contains invisible Unicode characters!

This file contains invisible Unicode characters that may be processed differently from what appears below. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to reveal hidden characters.

<!-- title: Un peu de sécurité Apache -->
<!-- category: Hébergement -->
Ce matin j'ai découvert une longue liste d'erreurs 404 dans les logs suggérant
qu'on recherche activement une faille<!-- more --> :
Requests with error response codes
404 Not Found
//PMA/config/config.inc.php?p=phpinfo();: 1 Time(s)
//phpMyAdmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
//phpmyadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
//pma/config/config.inc.php?p=phpinfo();: 1 Time(s)
/PMA2005/scripts/setup.php: 1 Time(s)
/admin/phpmyadmin/scripts/setup.php: 1 Time(s)
/admin/pma/scripts/setup.php: 1 Time(s)
/admin/scripts/setup.php: 1 Time(s)
/db/scripts/setup.php: 1 Time(s)
/dbadmin/scripts/setup.php: 1 Time(s)
/myadmin/scripts/setup.php: 1 Time(s)
/mysql-admin/scripts/setup.php: 1 Time(s)
/mysql/scripts/setup.php: 1 Time(s)
/mysqladmin/scripts/setup.php: 2 Time(s)
/mysqlmanager/scripts/setup.php: 1 Time(s)
/p/m/a/scripts/setup.php: 1 Time(s)
/php-my-admin/scripts/setup.php: 2 Time(s)
/php-myadmin/scripts/setup.php: 1 Time(s)
/phpMyAdmin-2.2.3/scripts/setup.php: 1 Time(s)
/phpMyAdmin-2.2.6/scripts/setup.php: 1 Time(s)
/phpMyAdmin-2.5.1/scripts/setup.php: 1 Time(s)
/phpMyAdmin-2.5.4/scripts/setup.php: 1 Time(s)
/phpMyAdmin-2.5.5-pl1/scripts/setup.php: 1 Time(s)
...
/pma/scripts/setup.php: 1 Time(s)
/pma2005/scripts/setup.php: 1 Time(s)
/robots.txt: 1 Time(s)
/scripts/setup.php: 1 Time(s)
/sqlmanager/scripts/setup.php: 1 Time(s)
/sqlweb/scripts/setup.php: 1 Time(s)
/typo3/phpmyadmin/scripts/setup.php: 1 Time(s)
/w00tw00t.at.blackhats.romanian.anti-sec:): 1 Time(s)
/web/phpMyAdmin/scripts/setup.php: 1 Time(s)
/web/scripts/setup.php: 1 Time(s)
/webadmin/scripts/setup.php: 1 Time(s)
/webdb/scripts/setup.php: 1 Time(s)
/websql/scripts/setup.php: 2 Time(s)
/xampp/phpmyadmin/scripts/setup.php: 1 Time(s)
Non je n'épluche pas les logs du serveur en guise de petit-déjeuner,
[logwatch](http://www.logwatch.org/) m'envoie un compte-rendu des entrées
pertinentes :-) A priori je ne crains pas grand chose sauf s'ils trouvent une
faille dans WordPress et me vident ce blog mais j'ai un système de sauvegarde
en place basé sur [Rsync](http://fr.wikipedia.org/wiki/Rsync). J'ai néanmoins
rajouté un peu de sécurité Apache :
- autoriser à redéfinir la sécurité globale à chaque niveau en passant le
paramètre AllowOverride à All dans /etc/apache2/sites-available/&lt;ma
definition de site&gt;
- ajout d'un fichier.htaccess à la racine html pour refuser tout le monde ( deny
from all )
- ajout d'un fichier.htaccess au niveau de Piwik pour refuser tout accès depuis
l'Internet ( allow from 192.168.0.0/255.255.0.0, deny from all )
Comment tester que ces règles sont appliquées ? on peut  utiliser un proxy
Web ou bien tester depuis son téléphone avec le réseau 3G de son opérateur  :
-)