S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 avril 2006
N° CERTA-2006-ACT-016
Affaire suivie par: CERT-FR
le 21 avril 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-16

Gestion du document

Référence CERTA-2006-ACT-016
Titre Bulletin d’actualité 2006-16
Date de la première version 21 avril 2006
Date de la dernière version 21 avril 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Incident traité

Le CERTA a traité un cas de compromission par exploitation en SSH d’un mot de passe faible pour le compte root. La machine ainsi compromise a ensuite été utilisée pour attaquer -avec succès- d’autres serveurs SSH.

Il est rappelé l’importance d’utiliser des mots de passe robustes, même pour des machines de test.

2 Attaques sur Claroline/Dokeos

Le CERTA constate que les attaques sur Claroline et Dokeos continuent. Elles se manifestent dans les journaux par des tentatives d’inclusion php (php include). Il est possible de mettre en évidence ces attaques avec des commandes du type :

grep -i includePath access.log

La variable includePath est utilisée pour exécuter des programmes situés sur des serveurs http distants généralement compromis.

Il est important de vérifier de telles tentatives d’intrusion dans les journaux et de les signaler au CERTA.

Rappel des avis émis

Dans la période du 10 au 16 avril 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 21 avril 2006
    version initiale.