Topic: possible exploit

[gieres]

Bonjour,
Je m'inquiète de ce rapport journalier :

Code: [Select]

A total of 5 possible successful probes were detected (the following URLs
 contain strings that match one or more of a listing of strings that
 indicate a possible exploit):
 
    /?umbrella-restore=1&filename=../../../../../../etc/passwd HTTP Response 200
    /?InternalDir=%5C..%5C..%5C..%5C..%5Cetc&InternalFile=passwd HTTP Response 200
    /?__kubio-site-edit-iframe-preview=1&__kubio-site-edit-iframe-classic-template=../../../../../../../../etc/passwd HTTP Response 200
    /?p=3232&wp_automatic=download&link=file:///etc/passwd HTTP Response 200
    /?UrkCEO/edit&theme=margot&squelette=../../../../../../etc/passwd&style=margot.css HTTP Response 200
Ai-je tort ?
D'avance merci.

[Jean-Philippe Pialasse]

trouve la ligne en question dans tes logs.
tente de les reproduire. et le résultat 404 vs 200
verifie si l'ibay en question a un phpbasedit activé et son contenu.

dur a dire rien qu'avec un rapport de ce type

[Jean-Philippe Pialasse]

wp plugin vulnerability and so on
https://vulners.com/nuclei/NUCLEI:CVE-2024-12209
https://vulners.com/nuclei/NUCLEI:CVE-2025-2294

[ReetP]

Si vous suspectez un problème de sécurité, évitez de le divulguer publiquement. Ouvrez plutôt un "bug de sécurité".

Also if you suspect a security issue please don't publicise it for the world to see. Open a security bug.

Thank you.

[gieres]

@jpp Je n'ai rien trouvé de semblable dans le journal « messages ». Peut-être faut-il faire des recherches dans d'autres journaux ? httpd-access-log ou httpd-error-log ?
Wordpress n'est pas installé sur ce serveur.
Merci.

@ReetP
Ok, thanks.

[Jean-Philippe Pialasse]

si worpress n'est pas installé alors ce sont juste des resultats de kiddie script.

la seule chose etrange est que tu aurais tu avoir une reponse 404 ou une redirection sur ces url comme wordpress n'est pas installé et donc pas ces url.