Url ressemblant à une tentative de hack

boby55

WRInaute occasionnel
Bonjour,

En consultant les requests demandées sur mon site web (fichier de log), j'ai constaté une récurrence d'url de ce type :

Code:
www.monsite.com/\x86\x8bh\xb3m4\xefOf\x8ax\xa6\x8ax\xb9\xdb\xb8\xe9

Celà semble un peu bizare, mon serveur renvoie une erreur 404 à ce genre de request mais de quoi s'agit-il vraiment :oops: ?

Merci.
 

xpleet

Nouveau WRInaute
Oui t'as raison.. ça peut être une requête d'un robot ou un scanner (mal configuré?) d'un script kiddie qui cherche un fichier ou une faille sur ton site..
 

boby55

WRInaute occasionnel
xpleet a dit:
Oui t'as raison.. ça peut être une requête d'un robot ou un scanner (mal configuré?) d'un script kiddie qui cherche un fichier ou une faille sur ton site..

Pas d'idée du type de faille cherchée ou de la méthode utilisée dans ce cas ?
 

Julia41

WRInaute passionné
Toutes les URL étaient les mêmes ou uniquement celle-ci ?
Il faudrait désofusqué ce qui est envoyé (je ne sais pas si c'est complet ou non donc pas testé) mais à coup de base64_decode / gzinflate, ça doit se faire rapidement. C'est surtout une trad "pas lisible" pour (par exemple index.php). Si ton serveur réponds (ça dépends comment il est configuré) peut-être qu'une faille sortie ya pas longtemps sera exploitable (pas mal de failles de sécu sorties ces derniers jours).
 

vitalizo

WRInaute impliqué
Julia41 a dit:
Toutes les URL étaient les mêmes ou uniquement celle-ci ?
Il faudrait désofusqué ce qui est envoyé (je ne sais pas si c'est complet ou non donc pas testé) mais à coup de base64_decode / gzinflate, ça doit se faire rapidement. C'est surtout une trad "pas lisible" pour (par exemple index.php). Si ton serveur réponds (ça dépends comment il est configuré) peut-être qu'une faille sortie ya pas longtemps sera exploitable (pas mal de failles de sécu sorties ces derniers jours).
A ce sujet, aurais-tu un site complet et précis qui récapitulent les dernières failles afin de se mettre à jour ?

Merci
 

michel.leonard

WRInaute occasionnel
utilise une expression régulière pour contrôler tes urls , par exemple interdire les antislashs
Code:
preg_match("#^[^\\]*$#",$url)
Il y a des expressions adaptées à toutes les url , et les tiens ils sont de quelle forme, Formellement ?
 

boby55

WRInaute occasionnel
Bonjour,

J'ai eu ce cas de figure sur plusieurs url :
Code:
www.mondomain.com/concours-photos-garcon-hephaistos/)\x86\x8bh\xb3m5\xd3N\xe6\x8ax\xa6\x8ax\x84\xdf\xbd\xa3\xa6

www.mondomain.com/concours-photos-fille-lewisgigi/\xa6\x1a-\xa2\xcd\xb4\xd7M=\x9a)\xe2\x9a)\xe2\x1f\x7f4\x8e\x98

Sinon j'ai vérifié et tous est à jour donc pas de faille à corriger.
 

Julia41

WRInaute passionné
vitalizo a dit:
Julia41 a dit:
blabla à moi
A ce sujet, aurais-tu un site complet et précis qui récapitulent les dernières failles afin de se mettre à jour ?

Merci

Sur peux aller voir sur security focus, ça demande un peu d'habitude pour trouver les infos. Ils tournent beaucoup par mailing list, donc tu peux t'abonner aux MLs (ça fait pas mal de mails par jours par contre).
Tu as toujours/souvent quelque chose comme ça quand les exploit sont publiés :
Code:
Timeline:
2010-07-08: informed vendor support
            no reaction
2010-07-15: informed vendor sales department
2010-07-16: reply from vendor: will forward to product manager
2010-07-21: reply from vendor: service engineering team now in charge
2010-08-26: sent status request to vendor
2010-08-26: reply from vendor: will request status from product manager
            no more reaction
2010-09-06: silently fixed
2010-09-16: report published
Par exemple pour ce truc ça a été "silently fixed" ce qui veut dire que les users n'ont pas été averti.
 

Discussions similaires

Haut