Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian?
’jour, Le jeudi 24 avril 2014, 00:36:40 Pascal Hambourg a écrit : […] Je ne pense pas que ça jette des paquets légitimes C'est pourtant risqué. Il suffirait que la chaîne se trouve dans une page HTML quelconque et soit par malchance transmise au début d'un segment TCP pour déclencher un faux positif. Ce qui serait à mon avis plus risqué, ce serait les clients qui enverraient ces requêtes « absolute RequestURI » légitimement : elles sont REQUISES pour causer avec un proxy mais n’importe quel client peut vouloir les utiliser (ça ne me semble pas être interdit par la RFC 2616 et j’appliquerais le principe de « rigueur sur les sorties, indulgence sur les entrées »). De plus, il y a ce petit paragraphe dans la RFC : « To allow for transition to absoluteURIs in all requests in future versions of HTTP, all HTTP/1.1 servers MUST accept the absoluteURI form in requests, even though HTTP/1.1 clients will only generate them in requests to proxies. » Donc couper la connexion sur une requête que le serveur DOIT accepter ne me semble pas très sympa (bon, vous me direz, être sympa avec quelqu’un qui veut profiter de votre proxy…). Au passage, on peut noter qu’il était envisagé que les URI absolues soient à l’avenir (celui de HTTP 1.1, en 1999) la forme unique ou du moins privilégiée. D’un autre côté, tout ça (utilisation privilégiée des URI absolues ou filtrage iptables sur le GET) tombera à l’eau, puisque SPDY, qui sert de base au brouillon pour HTTP 2.0, utilise un tout autre format (méthode, schéma, hôte et chemin ont chacun leur en-tête) et donc plus de chaîne « GET bla » en début de paquet (sauf sur un découpage malchanceux). Mais bon, HTTP 2.0, on a encore le temps, hein… -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/2916957.ibMDmnaODg@earendil
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Salut, Le 20/04/2014 12:42, Pascal Hambourg a écrit : Salut, Jean-Jacques Doti a écrit : je bloque via iptables toutes les requêtes du genre GET http://[...] Peux-on savoir comment, par curiosité ? Désolé pour le retard dans la réponse mais j'ai profité d'un long week-end de Pâques :-) Sinon, j'ai une simple règle iptables : -A INPUT -p tcp -m tcp --dport 80 -m string --string GET http://; --algo bm --to 70 -j DROP Je ne pense pas que ça jette des paquets légitimes et ça m'évite d'avoir mes logs polluées (ça fonctionne aussi en IPv6, mais il faut augmenter la zone de recherche : je l'ai passée de 70 à 99). A+ Jean-Jacques smime.p7s Description: Signature cryptographique S/MIME
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Le 23/04/2014 09:45, Jean-Jacques Doti a écrit : Salut, Le 20/04/2014 12:42, Pascal Hambourg a écrit : Salut, Jean-Jacques Doti a écrit : je bloque via iptables toutes les requêtes du genre GET http://[...] Peux-on savoir comment, par curiosité ? Désolé pour le retard dans la réponse mais j'ai profité d'un long week-end de Pâques :-) Sinon, j'ai une simple règle iptables : -A INPUT -p tcp -m tcp --dport 80 -m string --string GET http://; --algo bm --to 70 -j DROP Je ne pense pas que ça jette des paquets légitimes et ça m'évite d'avoir mes logs polluées (ça fonctionne aussi en IPv6, mais il faut augmenter la zone de recherche : je l'ai passée de 70 à 99). A+ Jean-Jacques Bonjour, Sur un serveur à fort traffic ce n'est pas overkill comme regle de firewall ? -- Guillaume -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/535788a7.4080...@gwilhom.fr
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Jean-Jacques Doti a écrit : Le 20/04/2014 12:42, Pascal Hambourg a écrit : Jean-Jacques Doti a écrit : je bloque via iptables toutes les requêtes du genre GET http://[...] Peux-on savoir comment, par curiosité ? Sinon, j'ai une simple règle iptables : -A INPUT -p tcp -m tcp --dport 80 -m string --string GET http://; --algo bm --to 70 -j DROP Je ne pense pas que ça jette des paquets légitimes C'est pourtant risqué. Il suffirait que la chaîne se trouve dans une page HTML quelconque et soit par malchance transmise au début d'un segment TCP pour déclencher un faux positif. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53584078.9020...@plouf.fr.eu.org
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Salut, Jean-Jacques Doti a écrit : je bloque via iptables toutes les requêtes du genre GET http://[...] Peux-on savoir comment, par curiosité ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5353a499.4000...@plouf.fr.eu.org
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
J'ai récupéré ça dans mes logs, donc j'ai plutôt l'impression que la tentative était dirigée contre mon serveur, et non contre le site du FBI : == # grep 123.242.224.7 access.log 123.242.224.7 - - [16/Apr/2014:23:29:05 +0200] GET / HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) 123.242.224.7 - - [16/Apr/2014:23:30:04 +0200] GET http:// www.fbi.gov/ HTTP/1.1 403 140 - - 123.242.224.7 - - [16/Apr/2014:23:30:40 +0200] CONNECT www.fbi.gov: 80 HTTP/1.0 400 172 - - 123.242.224.7 - - [16/Apr/2014:23:31:13 +0200] GET /admin/ HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) 123.242.224.7 - - [16/Apr/2014:23:31:36 +0200] GET /~root/ HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) 123.242.224.7 - - [16/Apr/2014:23:31:54 +0200] GET / configuration_administrator/VoIP/VoIP_1.htm HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) 123.242.224.7 - - [16/Apr/2014:23:32:23 +0200] GET /cgi/ index_voipgate.cgi HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) == # grep 123.242.224.7 error.log 2014/04/16 23:29:05 [error] 11222#0: *1724586 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET / HTTP/ 1.1, host: 5.135.191.38 2014/04/16 23:30:04 [error] 11222#0: *1724591 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET http:// www.fbi.gov/ HTTP/1.1, host: www.fbi.gov 2014/04/16 23:31:13 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET /admin/ HTTP/1.1, host: 5.135.191.38 2014/04/16 23:31:36 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET /~root/ HTTP/1.1, host: 5.135.191.38 2014/04/16 23:31:54 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET / configuration_administrator/VoIP/VoIP_1.htm HTTP/1.1, host: 5.135.191.38 2014/04/16 23:32:23 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET /cgi/ index_voipgate.cgi HTTP/1.1, host: 5.135.191.38 == Pour info, la racine de mon serveur n'est autorisée qu'aux IP que j'utilise. Je ne comprends pas bien cette histoire de proxies, je vais me renseigner. Le 17 avr. 14 à 17:50, Jean-Jacques Doti a écrit : Salut, Le 17/04/2014 11:10, Philippe Gras a écrit : Ce n'est pas une adresse de fishing, j'ai vérifié sur Google. À moins que… L'adresse IP est en Chine. ### Logwatch 7.4.0 (05/02/12) Processing Initiated: Thu Apr 17 06:25:19 2014 Date Range Processed: yesterday ( 2014-Apr-16 ) Period is day. Detail Level of Output: 0 Type of Output/Format: mail / text Logfiles for Host: .kimsufi.com ## - httpd Begin Connection attempts using mod_proxy: 123.242.224.7 - www.fbi.gov:80: 1 Time(s) Est-ce que ce ne serait pas plutôt une tentative de 123.242.224.7 d'accéder au site www.fbi.gov en essayant d'utiliser ton serveur HTTP comme proxy (tentative avortée puisque ton serveur n'est pas un proxy ouvert, n'est-ce pas ?) Sur mes serveurs HTTP j'ai pleins de tentatives de ce genres (enfin, j'avais, puisque je bloque via iptables toutes les requêtes du genre «GET http://[…]») A+ Jean-Jacques
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Bonsoir, Le 18/04/2014 18:46, Philippe Gras a écrit : J'ai récupéré ça dans mes logs, donc j'ai plutôt l'impression que la tentative était dirigée contre mon serveur, et non contre le site du FBI : == # grep 123.242.224.7 access.log 123.242.224.7 - - [16/Apr/2014:23:29:05 +0200] GET / HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) 123.242.224.7 - - [16/Apr/2014:23:30:04 +0200] GET http://www.fbi.gov/ HTTP/1.1 403 140 - - 123.242.224.7 - - [16/Apr/2014:23:30:40 +0200] CONNECT www.fbi.gov:80 http://www.fbi.gov:80 HTTP/1.0 400 172 - - 123.242.224.7 - - [16/Apr/2014:23:31:13 +0200] GET /admin/ HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) 123.242.224.7 - - [16/Apr/2014:23:31:36 +0200] GET /~root/ HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) 123.242.224.7 - - [16/Apr/2014:23:31:54 +0200] GET /configuration_administrator/VoIP/VoIP_1.htm HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) 123.242.224.7 - - [16/Apr/2014:23:32:23 +0200] GET /cgi/index_voipgate.cgi HTTP/1.1 403 140 - Mozilla/5.0 (FHScan Core 1.1) En clair, tout va bien : tous les codes sont en 40X, et donc les requêtes n'ont pas abouti. Ce ne sont que des gens qui ont juste tenté. Pas de quoi s'affoler. == # grep 123.242.224.7 error.log 2014/04/16 23:29:05 [error] 11222#0: *1724586 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET / HTTP/1.1, host: 5.135.191.38 2014/04/16 23:30:04 [error] 11222#0: *1724591 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET http://www.fbi.gov/ HTTP/1.1, host: www.fbi.gov http://www.fbi.gov 2014/04/16 23:31:13 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET /admin/ HTTP/1.1, host: 5.135.191.38 2014/04/16 23:31:36 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET /~root/ HTTP/1.1, host: 5.135.191.38 2014/04/16 23:31:54 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET /configuration_administrator/VoIP/VoIP_1.htm HTTP/1.1, host: 5.135.191.38 2014/04/16 23:32:23 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: GET /cgi/index_voipgate.cgi HTTP/1.1, host: 5.135.191.38 == Pour info, la racine de mon serveur n'est autorisée qu'aux IP que j'utilise. Ça se confirme effectivement via les deux extraits de logs ;) . Je ne comprends pas bien cette histoire de proxies, je vais me renseigner. En gros, un serveur HTTP (et vu qu'il connait habituellement la totalité du protocole) possède souvent des modules pour être utilisé en tant que proxy HTTP, plus généralement en tant que Reverse proxy : Il s'agit d'un serveur principal connecté sur le réseau publique qui reçoit toutes les requêtes, et les transmet, si besoin, à d'autres serveurs HTTP sur le réseau privé. http://fr.wikipedia.org/wiki/Proxy_inverse Sauf que s'il y a une boulette dans la conf, le serveur HTTP peut se retrouver à être non seulement Reverse proxy, mais également Proxy HTTP tout court. Et donc que des personnes connectées au réseau publique accèdent à d'autres sites publiques en utilisant le serveur HTTP comme proxy HTTP, et donc en masquant leur adresse IP réelle derrière celle du serveur HTTP. Mais rassures toi, ça ne semble pas être ton cas ;) . Pour que cela soit dans le domaine du possible, il faut avoir explicitement utilisé les modules proxy sur le serveur HTTP : `a2enmod proxy` (de mémoire) dans le cas d'un service Apache, par exemple. @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53518c3d.6040...@stuxnet.org
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Pour que cela soit dans le domaine du possible, il faut avoir explicitement utilisé les modules proxy sur le serveur HTTP : `a2enmod proxy` (de mémoire) dans le cas d'un service Apache, par exemple. @+ Christophe. OK et merci. J'ai utilisé un temps le reverse proxy (nginx + apache) et en effet, c'est tout un bazar pour le configurer. Je craignais qu'on puisse s'en servir par défaut, parce que j'ai eu pas mal d'ennuis avec named, que des centaines de bots utilisaient pour faire je ne sais quoi de pas net en me générant un paquet d'erreurs dans Logwatch. Depuis que j'ai purement et simplement fermé le serveur de noms, je n'ai plus de problème avec (forcément)… Depuis un moment, je tourne uniquement sous nginx. C'est simple à utiliser, et j'en suis très content. Mais la doc est difficile. Rustique, tout comme le serveur ! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53518c3d.6040...@stuxnet.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/f1166005-72e7-4b28-b9e0-12106fec0...@worldonline.fr
Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Ce n'est pas une adresse de fishing, j'ai vérifié sur Google. À moins que… L'adresse IP est en Chine. Début du message réexpédié : De : root@ Date : 17 avril 2014 06:25:19 HAEC À : contact@ Objet : Logwatch for .kimsufi.com (Linux) ### Logwatch 7.4.0 (05/02/12) Processing Initiated: Thu Apr 17 06:25:19 2014 Date Range Processed: yesterday ( 2014-Apr-16 ) Period is day. Detail Level of Output: 0 Type of Output/Format: mail / text Logfiles for Host: .kimsufi.com ## - httpd Begin Connection attempts using mod_proxy: 123.242.224.7 - www.fbi.gov:80: 1 Time(s) A total of 2 sites probed the server 80.82.70.106 80.82.70.118 […] ## Logwatch End #
RE: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Cela peut être un ip spoofé. -- ovd valentin@live.fr De : Philippe Grasmailto:ph.g...@worldonline.fr Envoyé : 17/04/2014 11:11 À : Debian Users (Liste en Français) mailto:debian-user-french@lists.debian.org Objet : Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ? Ce n'est pas une adresse de fishing, j'ai vérifié sur Google. À moins que… L'adresse IP est en Chine. Début du message réexpédié : De : root@ Date : 17 avril 2014 06:25:19 HAEC À : contact@ Objet : Logwatch for .kimsufi.com (Linux) ### Logwatch 7.4.0 (05/02/12) Processing Initiated: Thu Apr 17 06:25:19 2014 Date Range Processed: yesterday ( 2014-Apr-16 ) Period is day. Detail Level of Output: 0 Type of Output/Format: mail / text Logfiles for Host: .kimsufi.com ## - httpd Begin Connection attempts using mod_proxy: 123.242.224.7 - www.fbi.gov:80: 1 Time(s) A total of 2 sites probed the server 80.82.70.106 80.82.70.118 […] ## Logwatch End #
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Salut, Le 17/04/2014 11:10, Philippe Gras a écrit : Ce n'est pas une adresse de /fishing/, j'ai vérifié sur Google. À moins que… L'adresse IP est en Chine. ### Logwatch 7.4.0 (05/02/12) Processing Initiated: Thu Apr 17 06:25:19 2014 Date Range Processed: yesterday ( 2014-Apr-16 ) Period is day. Detail Level of Output: 0 Type of Output/Format: mail / text Logfiles for Host: .kimsufi.com ## - httpd Begin Connection attempts using mod_proxy: 123.242.224.7 - www.fbi.gov:80 http://www.fbi.gov:80: 1 Time(s) Est-ce que ce ne serait pas plutôt une tentative de 123.242.224.7 d'accéder au site www.fbi.gov en essayant d'utiliser ton serveur HTTP comme proxy (tentative avortée puisque ton serveur n'est pas un proxy ouvert, n'est-ce pas ?) Sur mes serveurs HTTP j'ai pleins de tentatives de ce genres (enfin, j'avais, puisque je bloque via iptables toutes les requêtes du genre «GET http://[…]») A+ Jean-Jacques
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
### Logwatch 7.4.0 (05/02/12) Processing Initiated: Thu Apr 17 06:25:19 2014 Date Range Processed: yesterday ( 2014-Apr-16 ) Period is day. Detail Level of Output: 0 Type of Output/Format: mail / text Logfiles for Host: .kimsufi.com ## - httpd Begin Connection attempts using mod_proxy: 123.242.224.7 - www.fbi.gov:80: 1 Time(s) Est-ce que ce ne serait pas plutôt une tentative de 123.242.224.7 d'accéder au site www.fbi.gov en essayant d'utiliser ton serveur HTTP comme proxy (tentative avortée puisque ton serveur n'est pas un proxy ouvert, n'est-ce pas ?) Sur mes serveurs HTTP j'ai pleins de tentatives de ce genres (enfin, j'avais, puisque je bloque via iptables toutes les requêtes du genre «GET http://[…]») A+ Jean-Jacques C'est possible, je ne sais pas du tout. Toutes les pistes de recherche sont bienvenues…
Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?
Bonsoir, Le 17/04/2014 11:10, Philippe Gras a écrit : Ce n'est pas une adresse de /fishing/, j'ai vérifié sur Google. À moins que… L'adresse IP est en Chine. Je confirme l'hypothèse de Jean-Jacques : ce genre de tentatives est courant, quelque soit le protocole d'ailleurs HTTP/SSH/SIP/... : pas mal de bots circulent pour parcourir pas mal de services sur pas mal de machines, dans un but principal, de trouver une faille dans la configuration, et par la suite l'utiliser. Si typiquement un de ces bots a été en mesure d'utiliser ton serveur Web comme proxy (et a réussi), tu peux être sur que dans les heures qui suivent, l'IP du serveur va se retrouver sur des listes free proxy ... En soi, la tentative n'est pas plus inquiétante que ça, car banale au final. Par contre, c'est le genre de choses à vérifier : si tu mets l'adresse de ton serveur en tant que serveur proxy dans ton navigateur et que tu arrives à naviguer sur le Web, la , oui, il y a un soucis à corriger au plus vite. Le 17/04/2014 17:50, Jean-Jacques Doti a écrit : Sur mes serveurs HTTP j'ai pleins de tentatives de ce genres (enfin, j'avais, puisque je bloque via iptables toutes les requêtes du genre «GET http://[…]») J'imagine à coup de module match dans iptables ? Juste par curiosité, tu le fais comment ? @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53502d21.80...@stuxnet.org