Un peu de sécurité Apache

Ce matin j’ai découvert une longue liste d’erreurs 404 dans les logs suggérant qu’on recherche activement une faille :

Requests with error response codes
    404 Not Found
       //PMA/config/config.inc.php?p=phpinfo();: 1 Time(s)
       //phpMyAdmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
       //phpmyadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
       //pma/config/config.inc.php?p=phpinfo();: 1 Time(s)
       /PMA2005/scripts/setup.php: 1 Time(s)
       /admin/phpmyadmin/scripts/setup.php: 1 Time(s)
       /admin/pma/scripts/setup.php: 1 Time(s)
       /admin/scripts/setup.php: 1 Time(s)
       /db/scripts/setup.php: 1 Time(s)
       /dbadmin/scripts/setup.php: 1 Time(s)
       /myadmin/scripts/setup.php: 1 Time(s)
       /mysql-admin/scripts/setup.php: 1 Time(s)
       /mysql/scripts/setup.php: 1 Time(s)
       /mysqladmin/scripts/setup.php: 2 Time(s)
       /mysqlmanager/scripts/setup.php: 1 Time(s)
       /p/m/a/scripts/setup.php: 1 Time(s)
       /php-my-admin/scripts/setup.php: 2 Time(s)
       /php-myadmin/scripts/setup.php: 1 Time(s)
       /phpMyAdmin-2.2.3/scripts/setup.php: 1 Time(s)
       /phpMyAdmin-2.2.6/scripts/setup.php: 1 Time(s)
       /phpMyAdmin-2.5.1/scripts/setup.php: 1 Time(s)
       /phpMyAdmin-2.5.4/scripts/setup.php: 1 Time(s)
       /phpMyAdmin-2.5.5-pl1/scripts/setup.php: 1 Time(s)
       ...
       /pma/scripts/setup.php: 1 Time(s)
       /pma2005/scripts/setup.php: 1 Time(s)
       /robots.txt: 1 Time(s)
       /scripts/setup.php: 1 Time(s)
       /sqlmanager/scripts/setup.php: 1 Time(s)
       /sqlweb/scripts/setup.php: 1 Time(s)
       /typo3/phpmyadmin/scripts/setup.php: 1 Time(s)
       /w00tw00t.at.blackhats.romanian.anti-sec:): 1 Time(s)
       /web/phpMyAdmin/scripts/setup.php: 1 Time(s)
       /web/scripts/setup.php: 1 Time(s)
       /webadmin/scripts/setup.php: 1 Time(s)
       /webdb/scripts/setup.php: 1 Time(s)
       /websql/scripts/setup.php: 2 Time(s)
       /xampp/phpmyadmin/scripts/setup.php: 1 Time(s)

Non je n’épluche pas les logs du serveur en guise de petit-déjeuner, logwatch m’envoie un compte-rendu des entrées pertinentes :-) A priori je ne crains pas grand chose sauf s’ils trouvent une faille dans WordPress et me vident ce blog mais j’ai un système de sauvegarde en place basé sur Rsync. J’ai néanmoins rajouté un peu de sécurité Apache :

  • autoriser à redéfinir la sécurité globale à chaque niveau en passant le paramètre AllowOverride à All dans /etc/apache2/sites-available/<ma definition de site>
  • ajout d’un fichier.htaccess à la racine html pour refuser tout le monde ( deny from all )
  • ajout d’un fichier.htaccess au niveau de Piwik pour refuser tout accès depuis l’Internet ( allow from 192.168.0.0/255.255.0.0, deny from all )

Comment tester que ces règles sont appliquées ? on peut  utiliser un proxy Web ou bien tester depuis son téléphone avec le réseau 3G de son opérateur  : -)

Votre commentaire
Le site Web est optionel
Le message peut être rédigé au format Markdown