mercredi, avril 20, 2005

À l'attaque !

Pour la première fois, mon serveur local a été la victime d'une attaque (sans effet heureusement) particulièrement pernicieuse. Ce serveur piloté par Apache tourne sur mon Mac et me sert essentiellement à des besoins professionnels. Or, il ne peut être atteint que par ceux qui connaissent précisément mon adresse IP, laquelle change à chaque nouvelle connexion. Et pourtant, hier, pendant que je travaillais, j'ai aperçu l'icône de la Console qui n'arrêtait pas de sursauter. Un coup d'oeil sur le fichier access_log a suffi pour me rendre compte qu'un intrus essayait successivement tous les liens de la page d'accueil, à intervalle de 37 secondes en moyenne. De temps en temps, il tentait bizarrement d'accéder à un serveur de news... Plus étrange : l'adresse IP qui permettait de l'identifier changeait de manière aléatoire, quoique restant dans la même tranche (63.227.x.x et 65.102.x.x). Bien sûr, aucune ne correspondait à une machine connue des serveurs de noms. J'ai évidemment désactivé mon serveur en attendant de trouver une parade...
Cette mésaventure m'inspire deux réflexions. D'abord, elle est manifestement l'œuvre d'un automate utilisé à des fins de test, avant de s'attaquer à des cibles plus sérieuses que mes misérables pages. Ensuite, son but ne me paraît pas aussi évident : s'agit-il de saturer le serveur en lançant des séries de requêtes (auquel cas la méthode est assez peu efficace), de scruter le contenu du serveur à la recherche de documents ou de fichiers confidentiels (il faudrait être assez mou du bulbe pour y laisser traîner des informations de ce type), de chercher un espace ou une faille de sécurité qui permettrait au pirate de prendre le contrôle de ma machine, d'y stocker des données ou d'utiliser mon serveur comme relais pour des opérations illégales ? Bref, autant de questions qui me laissent perplexe. Des idées ?

2 Commentaires:

Anonymous Anonyme a écrit...

Ton adresse IP change à chaque connexion,
certes, mais ça ne démontre pas du tout
que ton pirate ne s'est pas attaqué à toi
par hasard, en scannant des séries
entières d'adresses, ce qui n'est pas bien
malin.

Je suppose que ton firewall est bien
configuré et que tu as fait les mises à
jour de sécurité... Donc tu peux dormir
sur tes deux oreilles et je te le
conseille. Bonne nuit.


Poil de lama.

20 avril, 2005 23:00  
Blogger DS a écrit...

Bien sûr que mon firewall est bien configuré ! D'autant plus qu'il est épaulé, pour le serveur Apache, par des fichiers .htaccess de contrôle d'accès par mot de passe. En fait, ce qui m'énerve, c'est que ces requêtes alourdissent mes fichiers de log et risquent (à vérifier) de réduire ma bande passante. Enfin, comme tu le penses, mon adresse IP a été manifestement obtenue en scannant des séries d'adresses...

23 avril, 2005 10:14  

Réagir | Masquer les commentaires


Archives|

|Accueil
Google