Erreur HTTP, besoin d'avis

Bonjour

Je ne sais pas ou poser ma question, à déplacer si ce n’est pas le bon endroit

Je constate depuis des mois et je ne sais plus apres quelle maj ce type d"erreur dans la log HTTP (avant peut être que cela n’était pas capté ou personne n’essayait de joindre mon jeedom)

[Sat Nov 12 17:06:42.099741 2022] [access_compat:error] [pid 2428] [client 192.168.1.27:54849] AH01797: client denied by server configuration: /var/www/html/plugins/widget, referer: http://192.168.1.21/index.php?v=d&p=dashboard
[Sat Nov 12 17:06:42.103518 2022] [access_compat:error] [pid 2428] [client 192.168.1.27:54849] AH01797: client denied by server configuration: /var/www/html/plugins/widget, referer: http://192.168.1.21/index.php?v=d&p=dashboard
[Sat Nov 12 17:06:42.103525 2022] [access_compat:error] [pid 2477] [client 192.168.1.27:54848] AH01797: client denied by server configuration: /var/www/html/plugins/widget, referer: http://192.168.1.21/index.php?v=d&p=dashboard
[Sat Nov 12 17:25:36.595974 2022] [access_compat:error] [pid 27887] [client 93.177.103.215:58759] AH01797: client denied by server configuration: /var/www/html/.env
[Sat Nov 12 17:54:22.380667 2022] [access_compat:error] [pid 5198] [client 39.104.128.161:43704] AH01797: client denied by server configuration: /var/www/html/api
[Sat Nov 12 17:56:07.947501 2022] [access_compat:error] [pid 5198] [client 194.180.48.125:45462] AH01797: client denied by server configuration: /var/www/html/explore
[Sat Nov 12 18:35:42.915460 2022] [access_compat:error] [pid 2368] [client 194.110.203.60:47216] AH01797: client denied by server configuration: /var/www/html/service
[Sat Nov 12 18:45:50.399622 2022] [access_compat:error] [pid 27887] [client 61.82.109.92:51228] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sat Nov 12 19:13:27.580939 2022] [access_compat:error] [pid 2368] [client 97.103.197.223:49515] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sat Nov 12 19:47:19.334899 2022] [php7:error] [pid 21879] [client 35.198.25.12:47026] script '/var/www/html/wp-login.php' not found or unable to stat
[Sat Nov 12 20:02:29.128627 2022] [access_compat:error] [pid 4670] [client 218.145.61.20:45582] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sat Nov 12 20:13:39.411964 2022] [access_compat:error] [pid 11588] [client 194.180.48.125:38554] AH01797: client denied by server configuration: /var/www/html/explore
[Sat Nov 12 20:16:45.051827 2022] [access_compat:error] [pid 19567] [client 20.106.218.104:49286] AH01797: client denied by server configuration: /var/www/html/.env
[Sat Nov 12 20:16:45.581446 2022] [access_compat:error] [pid 2368] [client 20.106.218.104:49370] AH01797: client denied by server configuration: /var/www/html/.env
[Sat Nov 12 20:38:50.110407 2022] [access_compat:error] [pid 28065] [client 152.89.196.211:49788] AH01797: client denied by server configuration: /var/www/html/actuator
[Sat Nov 12 20:53:42.132221 2022] [access_compat:error] [pid 21879] [client 192.241.196.112:51148] AH01797: client denied by server configuration: /var/www/html/portal
[Sat Nov 12 21:10:53.279660 2022] [access_compat:error] [pid 5198] [client 198.199.94.242:37010] AH01797: client denied by server configuration: /var/www/html/actuator
[Sat Nov 12 21:14:47.937686 2022] [access_compat:error] [pid 21879] [client 222.121.4.4:53038] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sat Nov 12 22:03:23.369159 2022] [access_compat:error] [pid 11588] [client 45.134.144.48:38348] AH01797: client denied by server configuration: /var/www/html/remote
[Sat Nov 12 22:47:19.695380 2022] [access_compat:error] [pid 4670] [client 151.84.25.113:47640] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sat Nov 12 23:16:20.955853 2022] [access_compat:error] [pid 2428] [client 161.35.37.74:47032] AH01797: client denied by server configuration: /var/www/html/ab2g
[Sat Nov 12 23:16:21.101680 2022] [access_compat:error] [pid 5198] [client 161.35.37.74:47048] AH01797: client denied by server configuration: /var/www/html/ab2h
[Sat Nov 12 23:55:49.886481 2022] [access_compat:error] [pid 19567] [client 151.84.25.113:36840] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 00:42:04.163932 2022] [php7:error] [pid 20720] [client 23.27.104.82:60766] script '/var/www/html/wp-login.php' not found or unable to stat
[Sun Nov 13 00:46:25.294399 2022] [access_compat:error] [pid 20716] [client 86.98.83.3:61552] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 00:46:28.827955 2022] [access_compat:error] [pid 20719] [client 86.98.83.3:19495] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 01:29:24.116766 2022] [access_compat:error] [pid 20720] [client 61.52.39.193:42461] AH01797: client denied by server configuration: /var/www/html/boaform
[Sun Nov 13 02:33:18.543217 2022] [access_compat:error] [pid 3102] [client 217.109.159.226:47361] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 03:48:11.871948 2022] [access_compat:error] [pid 4499] [client 109.237.98.226:60980] AH01797: client denied by server configuration: /var/www/html/.env
[Sun Nov 13 04:18:05.709886 2022] [access_compat:error] [pid 4450] [client 192.241.200.194:45216] AH01797: client denied by server configuration: /var/www/html/owa
[Sun Nov 13 04:58:35.904015 2022] [php7:error] [pid 4396] [client 173.236.137.153:32838] script '/var/www/html/wp-login.php' not found or unable to stat
[Sun Nov 13 06:19:50.505546 2022] [access_compat:error] [pid 12923] [client 111.118.40.97:37183] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 07:11:04.226526 2022] [access_compat:error] [pid 12923] [client 198.199.95.36:39118] AH01797: client denied by server configuration: /var/www/html/actuator
[Sun Nov 13 07:23:11.370302 2022] [access_compat:error] [pid 12923] [client 59.60.122.179:20481] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 08:23:34.336866 2022] [access_compat:error] [pid 12869] [client 104.248.200.102:35280] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 08:54:24.718734 2022] [access_compat:error] [pid 13617] [client 103.60.60.186:58770] AH01797: client denied by server configuration: /var/www/html/.env
[Sun Nov 13 08:56:32.576675 2022] [access_compat:error] [pid 12923] [client 113.118.53.109:46372] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 09:19:36.866652 2022] [access_compat:error] [pid 13617] [client 222.121.4.4:42227] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Sun Nov 13 10:04:33.835799 2022] [access_compat:error] [pid 4395] [client 192.168.1.27:59708] AH01797: client denied by server configuration: /var/www/html/plugins/widget, referer: http://192.168.1.21/index.php?v=d&p=dashboard
[Sun Nov 13 10:04:33.839541 2022] [access_compat:error] [pid 4395] [client 192.168.1.27:59708] AH01797: client denied by server configuration: /var/www/html/plugins/widget, referer: http://192.168.1.21/index.php?v=d&p=dashboard
[Sun Nov 13 10:04:33.841263 2022] [access_compat:error] [pid 12865] [client 192.168.1.27:59715] AH01797: client denied by server configuration: /var/www/html/plugins/widget, referer: http://192.168.1.21/index.php?v=d&p=dashboard

Après autant les Ips internes « pourquoi pas » mais les IPs externes là je ne comprends pas trop car je n’accède pas au dashboard depuis internet je ne passe que par Jeedom Connect
Savez vous comment je pourrais répondre cela ?
j’ai lu que cela pourrait être des attaques sur mon jeedom, du moins des robots qui scannent les failles (les trouvent ils ?), comment se prémunir de cela et comment etre sur que ces attaques ne vont au but ? Est ce que ces logs ne sont au final pas « inquiètantes » ?

je pense que ton serveur est visible sur internet et ce sont des urls typique de robot de hacking qui cherche à rentrer en force. si tu as bien fail2ban installé tu vas probablement retrouver ces adresses blacklistées.

Bonjour,

Comme répondu par @neurall je confirme que les accès externes sont des robots

C’est inévitable (ou alors faut couper l’accès externe)
Ce n’est pas très inquiétant puisque bloqué par apache.
Cela pourrait être bloqué plus tôt par fail2ban pour avoir moins d’entrée dans ce log (mais cela ne diminue pas le nombre de tentatives)

la seule solution pour éviter ce genre de choses c’est d’intercaler un firewall intelligent pour le filtrage ou de programmer correctement les règles de filtrage sur debian au travers de d’iptable.

je te conseille de ne pas y toucher à moins que tu sois un expert sécu/réseau, tu peux assez facilement tout bloquer au niveau de l’accès, si tu ne maîtrises pas ce que tu fais.

le risque est là qu’il y ait une faille sur jeedom et que le robot la détecte et l’exploite pour t’uploader un malware ou un cheval de troie automatiquement en attendant que les pirates l’exploite.

si tu as bien installé les détecteurs (j’avais fait un article cet été sur comment maintenir proprement debian), en principe, tu peux être « relativement bien » protégé.

c’est ce post : Maintenance de sa Debian - Discussions Générales - Communauté Jeedom ?

oui c’est bien ça, il y a 2 scripts sur 2 posts différents pour aider à maintenir le système à jour simplement.

Tu as le 2eme post ?

Le 1er cité plus haut est déjà en place chez moi depuis hier (mais j’étais déjà à jour, fait régulièrement manuellement, mais c’est vrai qu’à une époque j’avais mis cela de coté, au moins là je saurais quand il y a une maj à faire)

le plus important à mon sens :

Ok merci
Par contre dans le tuto si on veut que les maj mirrors passent il faut mettre aussi mettre MIRRORS_UPDATE=1 (0 après install par défaut chez moi)

Et au final j’ai une log avec ceci , que dois en penser de ce qui est écrit ?? :

Me dire si c’est ce que je pense : rien de spécial pour les command, car en fait ce sont des scripts et non des exe, donc potentiellement un script cela s’édite et se corrompt (je ne connais pas la source d’origine donc pas facile de savoir si un jour ils sont modifiés)
Par contre l avant dernière ligne, faut il faire quelque chose (PermitRootLogin) et quel impact?
La dernière là je ne sais pas quoi en penser

------------------------------------
[2022-11-14 13:25:44][SCENARIO] Start : Scenario lance manuellement.
[2022-11-14 13:25:44][SCENARIO] Exécution du sous-élément de type [action] : code
[2022-11-14 13:25:44][SCENARIO] Exécution d'un bloc code
[2022-11-14 13:28:29][SCENARIO] out=0 rootkit(s) trouvé(s), 4
 fichier(s) suspect(s)
[2022-11-14 13:28:29][SCENARIO] command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
SSH configuration option 'PermitRootLogin' has not been set.
file found: /etc/.fstab: ASCII text

[2022-11-14 13:28:29][SCENARIO] Fin correcte du scénario

Enfin tu conseilles également un antivirus en plus ? clam-av ? Pas d’impact de perf sur jeedom ? Il existe un tuto aussi la dessus ?

c’est normal que tu ais des trucs « trouvés », c’est des éléments normaux de sécurité que l’on ne peut blinder forcément. le principal c’est 0 rootkits.

tu peux parcourir le fichier log à la main pour voir le résultat pour de plus amples détails sur les « warnings ».

je n’ai également aucun anti-virus à conseiller sur jeedom.
Sur la partie anti-virus, je n’ai rien d’installé sur jeedom pour ne pas dégrader les performances, notamment car il n’est pas accessible de l’extérieur de mon réseau, juste par un tunel vpn.