Tentative d’attaque ciblée sur PHPMyAdmin, un 0day ?

En effectuant l’analyse journalière des tentatives d’attaques à l’encontre de l’infrastructure ZATAZ, Nous avons pu remarquer des tentatives qui sortent de la normale.

En l’espace de 7 minutes, de 2008-12-29 13:13:02 à 2008-12-29 13:20:26, près de 207 alertes ont été générées pour l’adresse IP 220.182.54.89, située en Chine.

Toutes ces alertes ont des points communs :

  • Attaques sur une adresse IP et non sur un domaine.
  • Attaques spécifique sur le port 80.
  • Attaques visants des répertoires ayant tous une relation avec phpMyAdmin.
  • Le User Agent est celui de l’outil “revolt” dédié à la découverte d’installation de phpMyAdmin.

Après avoir observé les dernières alertes et autres exploits phpMyAdmin, il ne parraît pas exister de vulnérabilité majeure (autre que XSS) pouvant prétexter de tels attaques. Serait-ce un pirate en cours de test d’un outil et qui prendrait ZATAZ comme cible spécifique ? Ou alors d’une tentative plus large de découverte d’installation de phpMyAdmin pouvant alors éventuellement supposé qu’un 0day phpMyAdmin serait existant.

Si vous avez des traces du même type n’hésitez pas à nous en faire part.