1 Activité en cours
1.1 Incident traité
Le CERTA a traité un cas de compromission par exploitation en SSH d'un mot de passe faible pour le compte root. La machine ainsi compromise a ensuite été utilisée pour attaquer -avec succès- d'autres serveurs SSH.
Il est rappelé l'importance d'utiliser des mots de passe robustes, même pour des machines de test.
2 Attaques sur Claroline/Dokeos
Le CERTA constate que les attaques sur Claroline et Dokeos continuent. Elles se manifestent dans les journaux par des tentatives d'inclusion php (php include). Il est possible de mettre en évidence ces attaques avec des commandes du type :
grep -i includePath access.log
La variable includePath est utilisée pour exécuter des programmes situés sur des serveurs http distants généralement compromis.
Il est important de vérifier de telles tentatives d'intrusion dans les journaux et de les signaler au CERTA.