Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
- From: Jacques Beigbeder <adresse@cachée>
- To: adresse@cachée
- Subject: [sympa-fr] des traces d'une attaque
- Date: Wed, 19 Sep 2018 10:09:25 +0200
Bonjour,
Pour la petite histoire, je ne connaissais pas. Les pirates sont imaginatifs!
Mon installation: Ubuntu 16.04 + Sympa 6.1.25
Premier symptôme: ce matin, 10.000+ mails
From: SYMPA <adresse@cachée>
To: administrateur des listes <adresse@cachée>
Subject: Listmaster / web_tt2_error
file error - set_lang.tt2: not found
Analyse: /var/log/apache2/access.log montre dex quantités de:
167.XX.XXX.XXX - - [19/Sep/2018:07:34:20 +0200] "GET /wws/info/liste
HTTP/1.1" 200 9545 "https://XXX.ens.fr/wws" "Mozilla/5.0 (Windows NT 6.1;
WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0
Safari/537.21"
167.XX.XXX.XXX - - [19/Sep/2018:07:34:20 +0200] "POST /wws HTTP/1.1"
200 1167 "https://XXX.ens.fr" "Mozilla/5.0 (Windows NT 6.1; WOW64)
AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"
(IP au Canada)
Dans les syslogs, plein de:
Sep 19 07:34:08 lists wwsympa[1221]: err [robot XXX.ens.fr] [client
167.XX.XXX.XXX] main::get_parameters() get_parameters: syntax error
for parameter lang value
'en_US\u0022onmouseover=vPgF(9192)\u0022' not conform to regexp:[\w\-\.]+ ;
dumped vars in /home/sympa/spool/tmp/sympa_dump.1537335248.1221
Sep 19 07:34:08 lists wwsympa[1221]: info [robot
lists.clipper.ens.fr] [session 51056021459433] [client 167.88.177.141]
main::do_set_lang() do_set_lang()
Sep 19 07:34:08 lists wwsympa[1221]: err tt2::parse_tt2() Failed to
parse SCALAR : file error - set_lang.tt2: not found
Et dans ces fichiers /home/sympa/spool/tmp/sympa_dump.1537331315.20578:
...
_lang_
'en_US"sTYLe='acu:Expre/**/SSion(vPgF(9026))'bad="'
Sympa m'a l'air de s'être protégé au vu des:
parameter lang value ... not conform to regexp:[\w\-\.]+
Ouf!
--
Jacques Beigbeder | adresse@cachée
Service de Prestations Informatiques | http://www.spi.ens.fr
Ecole normale supérieure |
45 rue d'Ulm |Tel : (+33 1)1 44 32 37 96
F75230 Paris cedex 05 |Fax : (+33 1)1 44 32 20 75
- [sympa-fr] des traces d'une attaque, Jacques Beigbeder, 19/09/2018
Archives gérées par MHonArc 2.6.19+.