Test de sécurité de mon serveur perso

[Darkvader]

Salam,

 

A lire dans la charte du forum, ligne 15:

 

15- Les messages doivent être rédigés en français ou avec une traduction en français afin que tous le monde puissent en prendre connaissance

 

Merci

 

 

Although it sounds like those are new terms that I wasn't even aware of, thinking that the old forum terms apply to this one. I was mistaken, but fair enough, I don't think I belong here anyway, so if you could be nice to deactivate my account.

 

Thanks.

[Zving]

a méditer...

 

salutations.

[assilabox]

Although it sounds like those are new terms that I wasn't even aware of, thinking that the old forum terms apply to this one. I was mistaken, but fair enough, I don't think I belong here anyway, so if you could be nice to deactivate my account. Thanks.

 

Mais non mais non mon ami Darkvader, on ne va pas désactiver ton compte pour ci peu et tu seras toujours le bienvenu parmi nous. L'essentiel est qu'on se comprenne .

 

Allez on se concentre sur le sujet du topic... Darkvader,

tu as dis que tu as réussit à trouver des failles XSS sur le serveur de ButterflyOfFire tu peux nous expliquer lesquelles?

[Darkvader]

Mais non mais non mon ami Darkvader, on ne va pas désactiver ton compte pour ci peu et tu seras toujours le bienvenu parmi nous. L'essentiel est qu'on se comprenne .

 

Allez on se concentre sur le sujet du topic... Darkvader,

tu as dis que tu as réussit à trouver des failles XSS sur le serveur de ButterflyOfFire tu peux nous expliquer lesquelles?

 

Yes that's before he upgraded to a new version, on apache 2.2.4 there is an HTTP Server 413 Error Page XSS vulnerability. By passing a content-length : -1, and a malformed GET Request, apache will not sanitize the request, and will digest it as is, making it vulnerable to XSS and possibly a non-persistent defacement of the site.

 

if you telnet into a server that has apache 2.2.4 on it like

 

Telnet xxx.xxx.xxx.xxx 80 and you type in

 

GET

Host: domain.bar

Connection: close

Content-length: -1

and then you press enter twice

 

Apache will filter you request successfully like this

 

 

HTTP/1.1 413 Request Entity Too Large

Date: Sat, 12 Apr 2008 12:41:17 GMT

Server: Apache/2.2.4 (Ubuntu) PHP/5.1.6

Connection: close

Content-Type: text/html; charset=iso-8859-1

 

Request Entity Too Large


The requested resource
/
[b]Now if you try this malformed request.[/b]


Host: domain.bar

Connection: close

Content-length: -1

[b]

Apache will happily digest it with no filtering[/b]
 

[html]

HTTP/1.1 413 Request Entity Too Large

Date:Sat, 12 Apr 2008 12:42:46 GMT

Server: Apache/2.2.4 (Ubuntu) PHP/5.1.6

Connection: close

Content-Type: text/html; charset=iso-8859-1






Request Entity Too Large


The requested resource
/


does not allow request data with 
With a little bit of JavaScript knowledge you can do a lot. 

[Amine]

Thanks Darkvader, it's always a pleasure to read your contributions to the forum

[Darkvader]

Thanks Darkvader, it's always a pleasure to read your contributions to the forum

 

Thank you. it's a pleasure to contribute.

[Darkvader]

Tout d'abord je tiens à féliciter Assilabox, Lyas et Zving d'avoir fait la lumière sur le contenu accessible sur ce serveur de tests. Bravo 3likoum les gars

 

Je vais vous expliquer comment est branché ce PC "serveur" :

 

""""""""""""""""

" IP Freebox " " PC Serveur "

""""""""""""""""

" 82.67.69.135 " redirect port 80 vers " 192.168.0.10 "

""""""""""""""""

La Freebox intègre un routeur interne. J'ai configuré une redirection du port 80 en TCP et en UDP vers l'adresse IP 192.168.0.10 (qui est l'adresse du PC serveur de test).

 

Seul le port 80 de la freebox est redirigé vers cette adresse IP locale. Autrement dit : la Freebox fait office de Firewall et bloque l'accès à tout les autres ports du PC serveur (dont le port 25, 443, 21, 22 etc etc).

 

Un simple scanning de ports suffira pour détécter la présence de ports ouverts ou de services et il est vrai qu'il n'y a pas beaucoup de ports ouverts .

 

Le port par défaut du protocol "http" est le port 80. Le https (sécurisé) utilise le port 443 et comme le port 443 n'est pas ouvert ni redirigé donc ... nada !

 

Biensur, l'administrateur d'un serveur peut modifier le port 80 pour en spécifier un autre à sa guise (exemple prendre le port 8080 au lieu de 80).

 

Donc vous l'avez très bien compris, il n'y a pas de failles de sécurité graves dans ce serveur étant lui même à jour et ne contenant de modules ayant des failles. C'est un serveur LAMP banal (Apache2 + MySQL Server 5 + PHP 5 + PHPmyAdmin).

 

En effet, j'ai effectué une petite modification dans le fichier apache2.conf afin de ne pas publier la signature du serveur Apache.

 

ServerSignature off
ServerTokens Prod

Côté sécurité : Le PC Serveur intègre aussi un parfeu qui ne permet que les connexions sur le port 80.

 

En définitive, il faut que le serveur soit à jour tout le temps car tout serveur est vulnérable. Et administrateur réseaux c'est un métier, un job ! et non pas du bricolage.

 

Si vous voulez qu'on continue de jouer sur ce serveur, il n'y a pas de soucis. Je vous proposerai d'autres défits dans ce même thread non pas pour faire du hacki.ng mais plutot pour sécuriser son serveur. Vos commentaires, expériences et des détails sont aussi les bienvenus.

 

Je vous dis : à bientôt ici même

 

Salutations amicales, sahitou

 

I know this thread is old, but I just want to inform you that your blog is prone to XSS, and possibly a defacement. PM me if you want to know where the problem is.

 

Thanks.

[chahbandar]

Bonjour,

Si je comprend bien vous avez installé un serveur web et vous testez sa vulnérabilité?

Je voix pas pourquoi il serait vulnérable si vous avez gardé les paramètres par défaut et que vous n'avez rien installé comme extensions,. Bon c'est juste un avis de bleu. Encore, les failles de sécurité sont dues aux extensions et hacks ajoutés aux CMS ou Open source en général.

[Invité HAVOC]

Le déploiement d'un serveur web n'est pas chose facile, déjà il y a une façon de l'installer correctement sans laisser de brèches de sécurité.

 

En suite, il faut bien comprendre qu'en général la configuration par défaut est faite de façon à garantir plus ou moins une certaine compatibilité avec les différentes applications web (site web) qui peuvent êtres mis en place.

Je pense que la sécurisation d'un serveur se fait autour de l'application web qu'il fait tourner, on sécurise selon ses besoins.

Bref, les configurations par défauts offrent toujours un minimum de sureté seulement.

[Iyas]

Le déploiement d'un serveur web n'est pas chose facile, déjà il y a une façon de l'installer correctement sans laisser de brèches de sécurité.

 

En suite, il faut bien comprendre qu'en général la configuration par défaut est faite de façon à garantir plus ou moins une certaine compatibilité avec les différentes applications web (site web) qui peuvent êtres mis en place.

Je pense que la sécurisation d'un serveur se fait autour de l'application web qu'il fait tourner, on sécurise selon ses besoins.

Bref, les configurations par défauts offrent toujours un minimum de sureté seulement.

Oui je suis d'accord avec toi.

 

Certes Apache installé par défaut même avec les modules PHP n'est pas vulnérable en soit. A moins que demain une personne trouve une vulnérabilité directement dans le code source d'apache ou du module PHP.

 

Ce sont ensuite les sites hébergés qui peuvent rendre vulnérable ton serveur.

 

Dans ce cas il te reste deux solutions possibles:

 

1 - Tu crées un environnement ou une architecture WEB sécurisé

2 - Tu audites tous les sites web avant de les mettre en ligne si tu en as le courage

 

Quoi qu'il en soit un serveur 100% sécurisé n'existe pas... En fait si mais uniquement si tu le débranches du réseau et encore... Un piratage via accès physique est toujours possible (oui je suis parano et alors ? )

 

++

[chahbandar]

plus souple plus vulnérable, plus sécurisé plus rigide. je crois que protéger un site qui utlise beaucoup d'extensions est plus difficile que sécuriser un serveur destiné à un type d'applications bien défini; mais c'est juste un avis d'un débutant qui ne veut pas poser trop de questions;

[Iyas]

plus souple plus vulnérable, plus sécurisé plus rigide. je crois que protéger un site qui utlise beaucoup d'extensions est plus difficile que sécuriser un serveur destiné à un type d'applications bien défini; mais c'est juste un avis d'un débutant qui ne veut pas poser trop de questions;

En fait faut être entre les deux...

Il suffit de connaitre les outils qui vont bien, ainsi que le système sur lequel le serveur WEB s'appuie. Comme disait Havoc, ca ne se fait pas en claquant des doigts.

 

Il suffit de faire l'architecture qui va bien pour être tranquille...

 

Si il fallait dire 1 serveur web = 1 appli on ne s'en sortirait pas. Et que fais tu des hébergements mutualisés ? On doit également leur fournir un service sécurisé.

Après c'est sur si tu autorises n'importe qui à faire n'importe quoi on ne s'en sort plus...

 

Quoi qu'il en soit la sécurité se situe normalement aux deux niveaux. Coté service (serveur web etc..) et coté developpeurs (PHP, HTML etc..).

 

Si tu sais respecter les deux normalement tu n'as pas trop de problèmes

[Invité HAVOC]

J'ajouterai aussi qu'un serveur web ça requière un suivit permanent, la question de la sécurité se pose au quotidien, un bon administrateur doit :

1/ Lire ses journaux systèmes pour vérifier qu'il n'y a pas eu de phénomènes louches.

2/ Il faut se tenir régulièrement au courant de l'actualité en matière de sécurité des applications qu'on utilise.

3/ Il faut se tenir au courant des nouvelles méthodes de hack du moment et se protéger en conséquence.

[chahbandar]

C'est tout un métier. Je voudrai connaitre l'histoire du piratage de forumdz, y est il un thread?

[assilabox]

C'est tout un métier. Je voudrai connaitre l'histoire du piratage de forumdz, y est il un thread?

 

Salam

 

Rien d'intéressant à savoir ou à apprendre dans cette histoire, il ne s'agissait que de scripts et de logiciels tous prêts qui ont été utilisés pour trouver des failles...

 

Si tu veux apprendre tes amis sont ton clavier, tes propres codes et Iyas

[chahbandar]

fermer un site c'est toujours intéréssant , je veux dire l'histoire, pour se protéger au moins. J'aimerai bien qu'un connaisseur ouvre un thread.

[assilabox]

Salam,

 

c'est un sujet qui touche la sécurité nationale

 

Mais non mais non les administrateurs se feront un plaisir de nous expliquer ce qu'il faut faire pour se protéger des attaques Voir ici

[chahbandar]

Merci pour votre aide

[Iyas]

J'ajouterai aussi qu'un serveur web ça requière un suivit permanent, la question de la sécurité se pose au quotidien, un bon administrateur doit :

1/ Lire ses journaux systèmes pour vérifier qu'il n'y a pas eu de phénomènes louches.

2/ Il faut se tenir régulièrement au courant de l'actualité en matière de sécurité des applications qu'on utilise.

3/ Il faut se tenir au courant des nouvelles méthodes de hack du moment et se protéger en conséquence.

Toujours d'accord avec toi. J'espere juste que, quand tu parles des fichiers jounaux, tu ne parles pas des logs apaches... Parce que de mon coté j'ai des sites qui me genèrent pas loin de 100Mo de logs / jours...Alors imagine si je dois analyser tout ca avec mes yeux ...

 

Sinon j'ajouterai également:

 

1- L'utilisation de SNORT pour la détection d'intrusions: http://www.snort.org/

 

2- L'usage de PRELUDE-LML pour l'analyse des fichiers de logs temps réel: https://trac.prelude-ids.org/wiki/PreludeLML

 

++

[Invité HAVOC]

Toujours d'accord avec toi. J'espere juste que, quand tu parles des fichiers jounaux, tu ne parles pas des logs apaches... Parce que de mon coté j'ai des sites qui me genèrent pas loin de 100Mo de logs / jours...Alors imagine si je dois analyser tout ca avec mes yeux ...

 

Sinon j'ajouterai également:

 

1- L'utilisation de SNORT pour la détection d'intrusions: http://www.snort.org/

 

2- L'usage de PRELUDE-LML pour l'analyse des fichiers de logs temps réel: https://trac.prelude-ids.org/wiki/PreludeLML

 

++

 

Normalement l'administrateur réseau doit être apte à concevoir une application qui fasse le sale boulot à sa place, un programme qui épluche les log pour ne laisser que les informations les plus importantes, par exemple : les tentative d'identification incorrecte, la manipulation de fichiers, l'accès à certaines zones du serveur...etc.

[Iyas]

Normalement l'administrateur réseau doit être apte à concevoir une application qui fasse le sale boulot à sa place, un programme qui épluche les log pour ne laisser que les informations les plus importantes, par exemple : les tentative d'identification incorrecte, la manipulation de fichiers, l'accès à certaines zones du serveur...etc.

La concevoir ? Dans ce cas cela signifie que l'admin sait développer un minimum ce qui n'est pas toujours le cas

Cela dit il existe déjà des programmes permettant de faire ce genre de choses. Mais sinon oui je suis d'accord.

 

Par contre en ce qui concerne l'audit système de la manipulation de fichiers et des accès à certaines zones du serveur c'est une autre histoire.

Le seul OS que je connaisse qui sache faire ça plus ou moins bien c'est Solaris 10. Pour Linux je ne sais pas s'il est possible d'aller si loin....

 

En fait si, c'est possible avec des patchs kernels du type Grsecurity mais c'est une vraie galère à maintenir et en plus la stabilité et les performances du système peuvent être impactées.

 

Pour info:

 

http://www.grsecurity.net/

 

Ensuite je crois qu'il y'a également SELinux...Je ne l'ai jamais testé mais je n'ai pas entendu bcp de bien à son sujet. Mais je me trompe peut être...

 

++

[ButterflyOfFire]

Un petit up,

 

Merci les gars pour vos infos j'espère que ce sujet intéresse toujours beaucoup de monde

 

Je suis revenu avec ce petit "up" afin de vous dire que je vous donnerai bientôt la nouvelle adresse IP fixe de mon serveur de tests afin de continuer dans le même sujet.

 

Salutations amicales

[Intranet]

J'aimerai bien y participer ButterflyOfFire

Salutations

[ButterflyOfFire]

Je reviens avec du nouveau ... du neuf ... heu .. du Free de tout ce que vous voulez

 

Voilà, je viens d'installer mon serveur LAMP en inculant un module pour Apache contre le Spam et le Hack et il parait selon Slown (membre de ForumDZ) qu'il y a un soucis d'accès à ce serveur car ... les IP de "Fawri" ont été blacklistés.

 

J'aimerais que vous me dites si vous pouvez vous connecter sur le domaine :

 

http://livedz.com ou http://www.livedz.com

http://dzole.com ou http://www.dzole.com

 

(Ces deux noms de domaines m'appartiennent pour ceux qui voudraient poser la question, je répond à l'avance)

 

Si tous vas bien vous allez voir "ButterflyfFire's Test Server 1.0"

 

Il se peut que certaines IP de Fawri assignées aux hackers et spammers algériens soient blacklistés à travers le net. (Du moins sur les serveurs sécurisés)

Si vous n'arrivez pas à y accéder, veuillez citer votre fournisseur d'accès et dans quelle région vous êtes

 

Salutations amicales

Modifié le 15 août 2008 par ButterflyOfFire

[Invité salimdz]

J'aimerais que vous me dites si vous pouvez vous connecter sur le domaine :

 

http://livedz.com ou http://www.livedz.com

http://dzole.com ou http://www.dzole.com

 

Si vous n'arrivez pas à y accéder, veuillez citer votre fournisseur d'accès et dans quelle région vous êtes

 

les 4 ne répondent pas

je suis à alger avec eepad assilabox