OVH Community, your new community space.

Changer de dossier PHPMYADMIN


sbx59
17/03/2014, 12h32
up svp

sbx59
14/03/2014, 17h07
Arf, j'aurais étais bien intéresser

Es cela ?
Code:
# Fail2Ban configuration file
#
# Author: Marco Ziesing
#
# $Revision: 1 $
#

[Definition]

# Option: failregex
# Notes.: regex to match the php-cgi (eg. CVE-2012-1823) attacks in the logfile.
# Values: TEXT
failregex = ^.*"(GET|POST) /{1,2}(bin|cgi|cgi-bin|php)/php(4|5)?.*

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
ignoreregex =
Es ce sujet : http://forum.kimsufi.com/showthread....-cve-2012-1823

BBR
14/03/2014, 16h34
s'il avait réussi tu le saurais...
j'avais vu passer une règle pour fail2ban pour ça, mais je ne sais plus sur quel post.

sbx59
14/03/2014, 16h31
Ceci est ne faille d'apache2 ... Je l'avais vu, mais comment voir si il on réusit, ou pas ?

Je suis bien en derniere version de PHP ? :
Code:
php --version
PHP 5.4.4-14+deb7u8 (cli) (built: Feb 17 2014 09:18:47)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.4.0, Copyright (c) 1998-2012 Zend Technologies

BBR
14/03/2014, 15h31
tu tapes une des lignes dans google (par exemple celle-ci : php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63 %6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6$ ) et tu auras plein de réponses

sbx59
14/03/2014, 15h01
personne ?

sbx59
13/03/2014, 15h41
C'est bon ! il a suffit que je supprime l'application qui demander a ouvrir ces port ! merci a vous !

Mais j’attends quand même une réponse du message ci dessous avant de clôturer ce sujet.

sbx59
13/03/2014, 14h44
Aussi, pouvez vous me dire ce que tente de faires ces deux adresse :

107.21.224.185 - - [13/Mar/2014:10:07:47 +0100] "HEAD / HTTP/1.0" 302 226 "-" "-"
107.21.224.185 - - [13/Mar/2014:10:07:57 +0100] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63 %6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F %64$
107.21.224.185 - - [13/Mar/2014:10:07:57 +0100] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%6 3%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6 F%6$
107.21.224.185 - - [13/Mar/2014:10:07:58 +0100] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63 %6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6$
107.21.224.185 - - [13/Mar/2014:10:07:58 +0100] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6 E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6 D%6$
107.21.224.185 - - [13/Mar/2014:10:07:58 +0100] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%6 3%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6 F%6$
66.249.76.186 - - [13/Mar/2014:11:14:24 +0100] "GET /piwigo/about.php HTTP/1.1" 404 507 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

sbx59
13/03/2014, 11h28
iptables -X AS0_OUT
iptables: Too many links.

Cela ne veut pas la supprimé :/

nowwhat
13/03/2014, 11h28


C'est
iptables -X AS0_OUT

"chain Name" est le nom d'un paramètre.

sbx59
13/03/2014, 11h23
Voici le message qu'il m'affiche si je veut supprimer AS0_OUT :

iptables -X chain AS0_OUT
Bad argument `AS0_OUT'
Try `iptables -h' or 'iptables --help' for more information.

nowwhat
13/03/2014, 11h20
Suivant
man iptables
le commande
iptables -D chain Name
supprime des 'rules' ou règles d'une chaine iptables. Il te faut UN paramètre de plus: le numéro du règle.

Très utile, suivant man iptables, est
iptables -L -n --line-numbers

Chaque linge aura son numéro de ligne, qui commence avec 1.

Pour vider toutes les règles en un coup dans un chaine Name:
iptables -F chain Name

puis, pour supprimer un "chain":
iptables -X chain Name

sbx59
13/03/2014, 10h48
Code:
iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-apache-phpmyadmin  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
fail2ban-pure-ftpd  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 21,20,990,989
fail2ban-proftpd  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 21,20,990,989
fail2ban-vsftpd  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 21,20,990,989
fail2ban-apache-overflows  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
fail2ban-apache-noscript  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
fail2ban-apache-multiport  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
fail2ban-apache  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
fail2ban-ssh  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
DROP       all  --  69.194.226.0/24      0.0.0.0/0
DROP       all  --  69.194.226.64/28     0.0.0.0/0
AS0_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
AS0_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0
AS0_IN_PRE  all  --  0.0.0.0/0            0.0.0.0/0            mark match 0x2000000/0x2000000
AS0_ACCEPT  tcp  --  0.0.0.0/0            94.23.52.182         state NEW tcp dpt:915
AS0_ACCEPT  tcp  --  0.0.0.0/0            94.23.52.182         state NEW tcp dpt:914
AS0_ACCEPT  udp  --  0.0.0.0/0            94.23.52.182         state NEW udp dpt:917
AS0_ACCEPT  udp  --  0.0.0.0/0            94.23.52.182         state NEW udp dpt:916
AS0_WEBACCEPT  all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
AS0_WEBACCEPT  tcp  --  0.0.0.0/0            94.23.52.182         state NEW tcp dpt:943

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
AS0_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
AS0_IN_PRE  all  --  0.0.0.0/0            0.0.0.0/0            mark match 0x2000000/0x2000000
AS0_OUT_S2C  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
AS0_OUT_LOCAL  all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_ACCEPT (7 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_DNS (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            5.5.0.1
ACCEPT     all  --  0.0.0.0/0            5.5.4.1
ACCEPT     all  --  0.0.0.0/0            5.5.8.1
ACCEPT     all  --  0.0.0.0/0            5.5.12.1
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_IN (4 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            5.5.0.1
AS0_IN_POST  all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_IN_POST (1 references)
target     prot opt source               destination
AS0_OUT    all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_IN_PRE (2 references)
target     prot opt source               destination
AS0_DNS    tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:53
AS0_DNS    udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:53
AS0_IN     all  --  0.0.0.0/0            5.5.0.0/20
AS0_IN     all  --  0.0.0.0/0            192.168.0.0/16
AS0_IN     all  --  0.0.0.0/0            172.16.0.0/12
AS0_IN     all  --  0.0.0.0/0            10.0.0.0/8
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_OUT (2 references)
target     prot opt source               destination
AS0_OUT_POST  all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_OUT_LOCAL (1 references)
target     prot opt source               destination

Chain AS0_OUT_POST (1 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_OUT_S2C (1 references)
target     prot opt source               destination
AS0_OUT    all  --  0.0.0.0/0            0.0.0.0/0

Chain AS0_WEBACCEPT (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-apache (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-apache-multiport (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-apache-noscript (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-apache-overflows (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-apache-phpmyadmin (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-proftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-pure-ftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  173.193.207.98       0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0
Code:
ip6tables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
J'avais deja essayer iptables -D chain Name mais cela ne fonctionne pas

nowwhat
13/03/2014, 10h39
Citation Envoyé par sbx59
J'aimerai tout supprimer de la table sauf les :

fail2ban-pure-ftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-proftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-vsftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-apache-overflows tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache-noscript tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache-multiport tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22
Désolé, personne vous donne la commande "qui explose tout" sans savoir ce qu'on supprime avant.
On ne le fait pas sur 'son propre serveur' et non plus chez un serveur de quelqu'un d'autre.
Sauf le vendredi, ou tout est permis.

lance donc ces commandes de base (et place le résultat entre [CODE] ... [/CODE]
iptables -L -n
et
ip6tables -L -n

exemple:
Code:
ip6tables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Lance aussi cette commande:
man iptables
La réponse y est !!

sbx59
13/03/2014, 10h33
J'aimerai tout supprimer de la table sauf les :

fail2ban-pure-ftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-proftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-vsftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-apache-overflows tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache-noscript tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache-multiport tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22

sbx59
12/03/2014, 23h41
Justement personne ... Donc oui tout est ouvert ...
Comment je peut tout remettre a zéro. Puis, insérer les jail de Fail2ban + ton tuto? Du plus j'ai un rtorrent sur le serveur, es ce que bloquer toutes les connexion va gêner ?

BBR
12/03/2014, 23h20
à la base si tu n'en rajoutes pas tout est ouvert
qui a fait ton iptables ?

sbx59
12/03/2014, 22h59
Cela parle de comment crée des regle. Hors moi je veut en supprimer, mais je n'ai pas fait de fichiers.

BBR
12/03/2014, 20h06
regarde ma signature tu as une rubrique iptables standard faite avec l'aide de buddy, tout est commenté

sbx59
12/03/2014, 19h32
Je vais donc faire cela ! A tu regarder pour mon iptables ?

BBR
12/03/2014, 19h09
mets un .htaccess dans le répertoire, tu mets un l ogin/pass différent de celui de phpmyadmin, ce serait étonnant que tu te fasses hacker les 2 à la suite avec en plus fail2ban qui vire dès le 1er essai et pour un bantime important, ça devrait être suffisant

sbx59
12/03/2014, 17h46
Super BBR, j'ai bien ajouté sa a mon fail2ban !

Mais peut tu peut dire aussi comment mettre une captcha ?

Aussi pouvez vous m'aider a nettoyer mon iptables ... J'ai essayer d'installer des choses, qui m'ont ouvert des ports ....

http://pastebin.com/YkkXWNqc

Ma version : 3.4.11.1deb2

Edit : J'ai bien lu la doc ... et je n'y comprend rien du tout ! ou faut t'il mettre ces valeurs ...?

nowwhat
12/03/2014, 17h45
Citation Envoyé par sbx59
....
par contre je ne trouve pas comment mettre le captcha
Toujours pareil: quelle version de phpmyadmin ?

Lui, archie vieux, proposé par ton OS (lui, aussi déjà vieux car c'est Debian 7.4 aujourd'hui) ?
Ou une version plus récent comme le 4.1.x ?

De toute façon, le doc concernant l'activation, c'est CAZPCHTAQ - dans le doc de phpmyadmin. Heureusement, toute la doc est totalement indispensable de le lire donc tu le trouve tout seul comme un grand
(pour dire plus vrai: je n'ai pas le moyen de parcourir le doc moi même à cet instant).

L'astuce de BBR: faire travailler fail2ban est quasiment indispensable dès que t'as un installation phpmyadmin sur ton serveur.
Ça fait partie de "la bible":
1er jour: "il" a crée le serveur
2e jour: "il" a balancé un OS dessus (Debian bien sur).
3e jour : "il" a activé fail2ban

car sans cet ordre, c'est le chaos.


édit: J'ai trouvé le doc sur mon serveur !!!!
C'est dans le doc de phpmyadmin ..... ici:
https://www.papy-team.org/yphpmyadmi...oginPrivateKey

BBR
12/03/2014, 17h29
Dans fail2ban tu rajoutes ceci dans jail.conf
Code:
[apache-phpmyadmin]
enabled = true
port = http,https
filter = apache-phpmyadmin
logpath = /var/log/apache*/*error.log
logpath  = /var/log/virtualmin/*_error_log
maxretry = 3
sendmail-whois[name=apache-phpmyadmin, dest=votre_email, sender=fail2ban,]
Code:
nano /etc/fail2ban/filter.d/apache-phpmyadmin.conf
Contenu du fichier
Code:
# Fail2Ban configuration file
# Bans bots scanning for non-existing phpMyAdmin installations on your webhost.
#
[Definition]
# Option: failregex
# Notes.: Regexp to match often probed and not available phpmyadmin paths.
# Values: TEXT
#
failregex = [[]client <HOST>[]] File does not exist: .*(PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|myadmin2)
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
renommer en admin n'est pas une bonne idée car cela fait partie des mots très recherchés, mets plutôt un nom de répertoire vide de sens, genre a45tl3lh beaucoup moins prisé des robots ^^
ah et si tui n'as pas fail2ban, installe le rapidement et configure-le et puis passe donc à la dernière version de Debian.

sbx59
12/03/2014, 16h43
Bonjour,
Je suis sous débian6.

Comment je peut vous donner ma version exacte d'apache ?

Comment activé le Carpatcha ?


Edit : J'ai bien modifié le lien, cela fonctionne !
Aussi voici les infos :

Apache/2.2.22 (Debian)
Version du client MySQL: 5.5.35
par contre je ne trouve pas comment mettre le captcha

nowwhat
12/03/2014, 16h38
Citation Envoyé par sbx59
Je recherche donc a changer le lien de phpmyadmin en -> http://ip_srv/admin pour éviter le brute force.
Quel OS ?
Qui est le serveur web ?

Chez-moi™, j'ai un OS normal (Debian) avec un web 'normal' : Apache2.
Donc:
grep -R 'phpmyadmin' /etc/apache2/*

J'ai tapé ce commande car je cherche dans le paramétrage de mon serveur web comment il trouve et traite mon 'phpmyadmin'.

Résultat:
/etc/apache2/conf.d/phpmyadmin.conf:Alias /yphpmyadminy /usr/share/phpmyadmin
/etc/apache2/conf.d/phpmyadmin.conf:#ErrorLog /var/log/apache2/phpmyadmin-error.log
/etc/apache2/conf.d/phpmyadmin.conf:#TransferLog /var/log/apache2/phpmyadmin-access.log
/etc/apache2/conf.d/phpmyadmin.conf:
/etc/apache2/conf.d/phpmyadmin.conf: AuthUserFile /etc/phpmyadmin/htpasswd.setup
/etc/apache2/conf.d/phpmyadmin.conf: AuthUserFile /etc/phpmyadmin/htpasswd.setup
/etc/apache2/conf.d/phpmyadmin.conf:

C'est le Alias qui compte ici.
Normalement, l'alias est 'phpmyadmin' mais ça, bien sur, il FAUT le changer ...

Donc: pour accéder à mon phpmyadmin, tape dans un navigateur:
https://www.papy-team.org/yphpmyadminy/
(teste-toi même - le lien est valable et existe !!)
ce qui me semble bien difficile à trouver par un robo-script qui cherche a entrer par brut force.

De plus, dans le cadre qu'il faut JAMAIS s'arrêter de lire les possibilités dans la configuration quand ça marche déjà, j'ai découvert que phpmyadmin est au courant de ce 'brut force attaques' et offre un CAPTCHA cadeau ..., que j'ai activé.

nicobilaine
12/03/2014, 16h06
Il y a une tentative d’exploiter une faille présente sur la partie cgi de PHP. Si le serveur est a jour, normalement ça ne craint rien.

sbx59
12/03/2014, 15h19
Bonjour,

Une tentative de brute force est en ce moment présent sur mon serveur.

Je recherche donc a changer le lien de phpmyadmin en -> http://ip_srv/admin pour éviter le brute force.

merci de vos réponse.

Aussi j’aimerai savoir ce que veulent dire ces lignes :

46.163.111.32 - - [11/Mar/2014:16:05:50 +0100] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 506 "-" "-"
178.33.219.67 - - [11/Mar/2014:16:51:30 +0100] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 506 "-" "-"
198.74.53.22 - - [11/Mar/2014:21:41:29 +0100] "HEAD / HTTP/1.0" 302 226 "-" "-"
198.74.53.22 - - [11/Mar/2014:21:41:32 +0100] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63 %6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F %64%6$
198.74.53.22 - - [11/Mar/2014:21:41:33 +0100] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%6 3%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6 F%64%$
198.74.53.22 - - [11/Mar/2014:21:41:33 +0100] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63 %6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F %$
198.74.53.22 - - [11/Mar/2014:21:41:33 +0100] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6 E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6 D%6F%$
198.74.53.22 - - [11/Mar/2014:21:41:33 +0100] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%6 3%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6 F%64%$
71.70.93.107 - - [11/Mar/2014:22:33:42 +0100] "\x80w\x01\x03\x01" 302 0 "-" "-"