Bonjour, +1 pour un mod_security bien configuré, couplé à ceci c'est bien pratique ! https://github.com/derhansen/logwatch-modsec2
Cordialement, Nathan Malo Le 17 oct. 2015 1:33 PM, "pmenier" <patmen...@wanadoo.fr> a écrit : > Le 02/10/2015 15:13, andre_deb...@numericable.fr a écrit : > >> On Friday 02 October 2015 13:38:21 BERTRAND Joc3abl wrote: >> >>> andre_deb...@numericable.fr a écrit : >>> >>>> On Friday 02 October 2015 12:34:49 yamo' wrote: >>>> >>>>> andre_deb...@numericable.fr a écrit le 02/10/2015 11:10 : >>>>> >>>>>> Je reçois ce message d'alerte (logwatch), >>>>>> venant d'un serveur sous Debian : >>>>>> ==================== >>>>>> A total of 3 possible successful probes were detected >>>>>> (the following URLs contain strings that match one or >>>>>> more of a listing of strings that indicate a possible exploit): >>>>>> /index.php?rev=../ect/passwd HTTP Response 200 >>>>>> >>>>> >>>> /index.php?rev=../../../../../../../../../../../../../../../../../../etc/passwd >>>> >>>>> HTTP Response 200 >>>>>> /index.php?rev=../../../../../../../../../etc/passwd HTTP Response 200 >>>>>> ==================== >>>>>> Il est indiqué "3 possible tentatives avec succès..." >>>>>> Y a t-il un danger que les mots de passe soient connus... ? >>>>>> >>>>> >>>> Les mots de passe, non, mais les logins et les mots de passe chiffrés. >>>>> Sans indiscrétion, quel est ce index.php moisi ? >>>>> Cordialement, JKB >>>>> >>>> >>>> Le fichier d'index du site et pourquoi serait-il "moisi" ? >>>> p. ex : "http://trucmuche.fr/index.php?rev=kata.php" >>>> >>> >>> Ce qui m'inquiète, c'est la réponse '200' qui aurait >>> tendance à indiquer qu'un utilisateur distant peut >>> récupérer le contenu de /etc/passwd. >>> Si c'est le cas, le fichier index.php est moisi et la >>> configuration d'apache est à revoir. >>> La question était : est-ce que le index.php est fait maison ou >>> provient d'un logiciel tiers (spip, joomla ou autre) ? >>> JKB >>> >> >> fait maison, c'est du classique dans les sites Web, >> la page "index.php" reçoit les contenus des autres pages. >> >> Comment faire autrement ? >> >> André >> >> >> Bonjour, > > Pour éviter ce genre d'inclusion j'utilise le module mod_security > d'apache2. Bien configuré il ne ralentit pas trop les accès. > > Patrick > > >