Attention aux scanners du diable

Si vous voulez vous faire peur, jetez donc un oeil aux logs de votre serveur Web, notamment tout ceux qui ont aboutit à une erreur 404. C'est tout simplement édifiant.

On y retrouve notamment toutes les URL qui sont essayées par les scanners automatiques. Les scanners sont des robots qui essaient de récupérer une URL en la devinant. Par exemple, on peut supposer que Nexen.net utilise phpMyAdmin, et tenter de se connecter sur l'URL suivante : http://www.nexen.net/admin/phpMyAdmin-2.6.0/main.php. Si vous essayez, vous serez noté dans notre fichier de log. Si l'URL avait existé, alors le scanner aurait su que nous utilisons phpMyAdmin et même, la version 2.6.0. A partir de cette information, il va pouvoir tenter une attaque pour exploiter une vulnérabilité. Les vulnérabilités et même les attaques sont souvent publiées sur différents sites de sécurité, comme securityfocus, secunia ou frsirt.

Cette liste va être pour nous l'occasion de rappeler quelques principes de sécurité autour du concept de scan automatique.

Attention aux applications populaires

Vous trouverez ci-dessous une liste extraite des attaques qui ont été tentée le mois dernier sur le site de nexen.net. On peut y déceler les attaques les plus courantes, ainsi qu'un bon nombre d'applications populaires : claroline, phpAdsNew, phpMyAdmin, WordPress font partie de cette élite des logiciels PHP qui reçoivent beaucoup d'attention des pirates. Si vous utilisez une de ces applications, alors assurez-vous que les pirates ne vont pas les trouver facilement.

Il est possible que le fichier d'erreur vous indique qu'un pirate tente d'accéder à phpMyAdmin version 2.6.0. Peut-être vous direz-vous : "ouf, quel soulagement . J'utilise encore la version 2.5.1." Inutile de préciser que dans le cas où votre dossier a été trouvé, il n'est pas listé dans le log d'erreur...

En termes de sécurité, n'utilisez jamais les valeurs par défaut. Si vous obtenez un logiciel dont l'outil d'administration est 'admin', alors déplacer le dossier, et renommez-le. Cela évitera à un pirate de tomber dessus par hasard.

Des noms génériques

Outre les applications les plus courantes, il y a une autre catégorie de fichiers qui sont facilement découverts : ceux qui portent des noms très courants. C'est le cas des fichiers ou dossiers admin, administrator,

Et si le pirate avait trouvé?

En fait, si vous parcourez la liste des erreurs 404 de votre site, vous aurez obtenu la liste des échecs des pirates. Mais vous n'aurez pas obtenu la liste des réussites, c'est à dire les pages que vous souhaitez garder confidentielles, mais qui ont été trouvées par un pirate. Pour cela, il faut lire dans le fichier d'accès, et supprimer toutes les adresses IP des visiteurs qui sont les votres. Le travail est donc un peu plus compliqué, mais pourrait vous réserver des surprises.

De l'ASP chez nexen.net?

Les deux dernières tentatives que l'on voit dans la liste ci-dessous illustre bien les limites des scan automatiques : les pirates tentent de voir si nous utilisons des applications en ASP : c'est difficile à trouver sur un site consacré à PHP. En fait, cela nous indique encore une fois la solution pour s'en défendre : sortir des sentiers battus. Les robots compensent le faible taux de retour en testant un très grand nombre de site. Si ca ne marche pas du premier coup, ils passent vite au suivant.

Liste de quelques tentatives effectuées sur le site de nexen.net

• phpCodeGenie
• //app/common/lib/codeBeautifier/Beautifier/Core.php
• phpAdsNew
• //auction/phpAdsNew/view.inc.php
• //exchange/phpAdsNew/view.inc.php
• claroline
• //claroline/auth/extauth/drivers/ldap.inc.php
• //claroline/phpbb/page_tail.php
• /claroline/phpbb/page_tail.php
• /clarolinepath%5D/learnPath/include/scormExport.inc.php
• //motorsold/phpAdsNew/view.inc.php
• //phpAdsNew/view.inc.php
• dotproject
• //dotproject/classes/query.class.php
• //dotproject/modules/files/index_table.php
• phpBB
• //modules/PNphpBB2/includes/functions_admin.php
• /phpbb/index.php
• /phpbb2/index.php
• phpOpenChat
• //phpopenchat/contrib/yabbse/poc.php
• phpMyAdmin
• /phpMyAdmin-2.2.3/main.php
• /phpMyAdmin-2.2.3/read_dump.phpmain.php
• /phpMyAdmin-2.2.6/main.php
• /phpMyAdmin-2.2.7-pl1/read_dump.phpmain.php
• /phpMyAdmin-2.5.1/main.php
• /phpMyAdmin-2.5.4/main.php
• /phpMyAdmin-2.5.6/main.php
• /phpMyAdmin-2.5.6/read_dump.phpmain.php
• /phpMyAdmin-2.5.7-pl1/read_dump.phpmain.php
• /phpMyAdmin-2.6.0-beta2/main.php
• /phpMyAdmin-2.6.0-pl1/main.php
• /phpMyAdmin-2.6.0-pl3/read_dump.phpmain.php
• /phpMyAdmin-2.6.0/main.php
• /phpMyAdmin-2.6.0/read_dump.phpmain.php
• /phpMyAdmin-2.6.1-pl3/read_dump.phpmain.php
• /phpMyAdmin-2.6.1-rc1/main.php
• /phpMyAdmin-2.6.2-rc1/main.php
• /phpMyAdmin-2.6.3-pl1/main.php
• /phpMyAdmin-2.6.3-pl1/read_dump.phpmain.php
• /phpMyAdmin-2.6.3-rc1/main.php
• /phpMyAdmin-2.6.3/main.php
• /phpMyAdmin-2.6.4/read_dump.phpmain.php
• /phpmyadmin/c99.phpmain.php
• /phpmyadmin/cmd.phpmain.php
• /phpmyadmin/cmd1.phpmain.php
• /phpmyadmin/cmd2.phpmain.php
• /phpmyadmin/cmd3.phpmain.php
• /phpmyadmin/Deadhat.phpmain.php
• /phpmyadmin/haxx.phpmain.php
• /phpmyadmin/index.phpmain.php
• /phpmyadmin/main.php
• /phpMyAdmin/main.php
• /phpmyadmin/r57.phpmain.php
• /phpMyAdmin/read_dump.phpmain.php
• /phpmyadmin/sh3ll.phpmain.php
• /phpmyadmin/shell.phpmain.php
• /phpmyadmin/sql.phpmain.php
• /phpmyadmin1/read_dump.phpmain.php
• /phpmyadmin2/main.php
• /phpmyadmin2/read_dump.phpmain.php
• /admin/phpMyAdmin-2.2.3/main.php
• /admin/phpMyAdmin-2.2.6/main.php
• /admin/phpMyAdmin-2.5.1/main.php
• /admin/phpMyAdmin-2.5.4/main.php
• /admin/phpMyAdmin-2.5.6/main.php
• /admin/phpMyAdmin-2.6.0-pl1/main.php
• /admin/phpMyAdmin-2.6.0/main.php
• /admin/phpMyAdmin-2.6.2-rc1/main.php
• /admin/phpMyAdmin-2.6.3-pl1/main.php
• /admin/phpMyAdmin-2.6.3-rc1/main.php
• /admin/phpMyAdmin-2.6.3/main.php
• /admin/phpmyadmin/main.php
• /admin/phpMyAdmin/main.php
• /admin/phpmyadmin/read_dump.phpmain.php
• /admin/phpmyadmin2/main.php
• /admin/pMA/main.php
• /admin/pma/read_dump.phpmain.php
• /phpadmin/read_dump.phpmain.php
• /PMA/read_dump.phpmain.php
• /myadmin/main.php
• /admin/read_dump.phpmain.php
• /cmd.phpmain.php
• /db/read_dump.phpmain.php
• /dbadmin/read_dump.phpmain.php
• /myadmin/read_dump.phpmain.php
• /mysql/read_dump.phpmain.php
• /mysqladmin/read_dump.phpmain.php
• /web/phpMyAdmin/read_dump.phpmain.php
• WordPress
• /wp-content/plugins/wordtube/wordtube-button.php
• //wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php
• //wp-content/plugins/wordtube/wordtube-button.php
• MyGallery
• //mygallery/myfunctions/mygallerybrowser.php
• myPHPCalendar
• //myPHPCalendar/admin.php
• Phorum
• //phorum/plugin/replace/plugin.php
• Générique
• /include/html/config.php
• /include/main.php
• /includes/functions.php
• /includes/xhtml.php
• /install.php
• /install/index.php
• //sendcard.php
• //services.php
• /config.php
• /db/main.php
• /dbadmin/main.php
• /display.php
• //list.php
• //login.php
• /admin.php
• /admin/db/main.php
• /admin/main.php
• /ADMIN/main.php
• /admin/myadmin/main.php
• /admin/mysql-admin/main.php
• /admin/mysql/main.php
• /admin/mysqladmin/main.php
• /admin/php-my-admin/main.php
• /admin/sqladmin/main.php
• /admin/sqlweb/main.php
• /admin/sysadmin/main.php
• /admin/web/main.php
• /admin/webadmin/main.php
• /admin/webdb/main.php
• /admin/websql/main.php
• //protection.php
• //survey.inc.php
• //tags.php
• //templates/viewsource/template.php
• //templates/viewsource/templdetails.php
• //tools/send_reminders.php
• //trans/trans.php
• //ws/get_events.php
• /clear_cache.php
• /click.php
• /cmd.php
• /inc/backup.php
• //inc/backup.php
• Autres
• //phpSiteBackup-0.1/pcltar.lib.php
• /plugins/spamx/MTBlackList.Examine.class.php
• //coin_includes/constants.php
• //components/com_jd-wiki/lib/tpl/default/main.php
• //components/com_simpleboard/image_upload.php
• //language/lang_english/lang_activity.php
• //ldap/authldap.php
• //lib/db/ez_sql.php
• //libraries/pcl/pcltar.php
• //Module/Galerie.php
• //modules/eCal/function.php
• //modules/EN-Forums/db/mysql.php
• //modules/icontent/include/wysiwyg/spaw_control.class.php
• //modules/postguestbook/styles/internal/header.php
• //modules/tinycontent/admin/spaw/spaw_control.class.php
• //mutant_includes/mutant_functions.php
• //path/saf/lib/PEAR/PhpDocumentor/Documentation/tests/559668.php
• //redaxo/include/addons/import_export/pages/index.inc.php
• //routines/fieldValidation.php
• //shop/catalog//includes/include_once.php
• //shop/index.php/action/category/id/libsecure.php
• //Sunshop/index.php
• //yabbse/Sources/Packages.php
• /bb_usage_stats/include/bb_usage_stats.php
• /co.uk/content/db/car-houston-used/details.php
• /com/forum/index.php
• /component/com_extcalendar/extcalendar.php
• /creep/graphics/utopia/lijstje/me_1.jpg
• /displayvuln.php
• /learnPath/include/scormExport.inc.php
• /lettre/archives/203.php/help_text_vars.php
• /lettre/archives/219.php/index.php
• /lettre/archives/275.php/phpwcms/include/inc_ext/spaw/dialogs/table.php
• /lettre/archives/288.php/install.php
• /lettre/archives/326.php/MOD_forum_fields_parse.php
• /lettre/archives/337.php/administrator/components/com_comprofiler/plugin.class.php
• /lettre/archives/365.php//index.php
• /lettre/archives/administrator/components/com_comprofiler/plugin.class.php
• /lettre/archives/help_text_vars.php
• /lettre/archives/include/story/showcat.php
• /lettre/archives/install.php
• /lettre/archives/lettre/archives/371.php
• /lettre/archives/MOD_forum_fields_parse.php
• /lettre/archives/phpwcms/include/inc_ext/spaw/dialogs/table.php
• /lettre/tirage_300eme.php
• /mysql-admin/main.php
• /mysql/main.php
• /mysqladmin/main.php
• /n.pl/sklep/catalog/librairie.php
• /pcltar.lib.php
• /support/mailling/maillist/inc/initdb.php
• Speciaux
  
• /MSOffice/cltreq.asp
• /default.aspx