Analyse des référents suspects sur mon site

2025-06-01

Récemment, en consultant les journaux d'accès de mon site, j’ai remarqué une série de référents suspects. Ces URL ne correspondent à aucune navigation normale ou comportement d’utilisateur légitime. Elles évoquent des tentatives d’accès à des fichiers sensibles ou des endpoints potentiellement exploitables.

Voici la liste des URL détectées, accompagnée de suppositions sur leur signification :

1. actuator/dump

Explication :
Il s'agit probablement d'une tentative d’accès à un endpoint exposé par Spring Boot Actuator, une bibliothèque Java souvent utilisée pour la surveillance des applications. Le chemin /actuator/dump peut révéler des informations internes comme les threads en cours — utile en debug, dangereux si exposé publiquement.

2. actuator/heapdump

Explication :
Toujours lié à Spring Boot Actuator, cet endpoint permet de générer un heap dump (état complet de la mémoire JVM). Un attaquant pourrait y trouver des informations sensibles si le fichier est accessible publiquement.

3. api/.git/config

Explication :
Ceci est une tentative d’accès à un fichier .git/config, normalement caché dans un dépôt Git. Un fichier .git/config exposé peut contenir des informations comme l’URL du dépôt distant ou d’autres détails sur l’arborescence de versionnage — parfois exploitable pour extraire tout le dépôt via .git.

4. /dump

Explication :
Un chemin générique souvent utilisé pour des exports de base de données ou des fichiers de logs. Un bot explore probablement ce chemin à la recherche d’une base de données ou d’un fichier contenant des données sensibles.

5. /heapdump

Explication :
Comme ci-dessus, cela fait penser à une tentative générique visant à localiser un fichier de type heap dump, potentiellement laissé en production par erreur.

6. wordpress/

Explication commune :
Ces URL sont utilisées lors de la première configuration de WordPress. Un attaquant peut scanner des sites à la recherche d’installations WordPress incomplètes ou mal sécurisées, dans le but d’y injecter un fichier wp-config.php malveillant et prendre le contrôle du site.

8. Jaurès

Explication :
Accès à une ressource JS classique de WordPress. Cela peut être légitime dans un contexte normal, mais combiné aux autres URL suspectes, il est possible que cela fasse partie d’un scan automatisé vérifiant si le site utilise une version vulnérable de jQuery (ou tout simplement la présence de WordPress).

9. /core.js

Explication :
Chemin souvent rencontré sur des sites Joomla!, une autre plateforme CMS. Cela pourrait indiquer que le bot ne sait pas encore si le site utilise WordPress, Joomla ou autre, et tente plusieurs chemins pour détecter la technologie en place.

Conclusion

Toutes ces requêtes pointent vers un comportement typique de scan automatisé, souvent effectué par des bots malveillants à la recherche :

• de fichiers oubliés ou exposés (heapdump, dump, .git/config)
• d’endpoints de debug mal protégés (Spring Boot)
• d’installations incomplètes de CMS (WordPress, Joomla)
• ou encore de composants JavaScript obsolètes.

Il ne s’agit pas nécessairement d’une attaque directe, mais d’une phase de reconnaissance dans le cycle de compromission. Ces scans sont très courants sur Internet, surtout si votre site est nouvellement référencé ou hébergé sur une IP publique. Il y aura certainement d'autres URLs j'apporterais des mises à jours à cet article lorsque j'aurais une quantité d'URL intéressantes à fournir.

Les nouveaux liens :

• /sftp-config.json ➤ Fichier de configuration potentiellement sensible contenant des identifiants FTP/SFTP.
• /ss.php ➤ Nom fréquemment utilisé pour des webshells malveillants ou outils de contrôle à distance.
• /style.php ➤ Fichier PHP pouvant contenir du code malveillant sous un nom anodin ressemblant à une feuille de style.
• /th1s_1s_a_4o4.html ➤ Nom utilisé par des scanners pour analyser les réponses aux erreurs 404 (empreinte du serveur).
• /api/.env ➤ Fichier d’environnement exposant potentiellement des clés API et secrets d’application.
• /app/etc/local.xml ➤ Fichier de configuration Magento contenant des informations sensibles comme les identifiants de base de données.
• /application.properties ➤ Fichier Java Spring contenant des informations de configuration sensibles (BD, SMTP, etc.).
• /backend/.env ➤ Fichier d’environnement pour la partie admin, pouvant exposer des credentials backend.
• /config/configuration.yml ➤ Fichier YAML de configuration, souvent utilisé pour stocker des clés ou chemins sensibles.
• /config/databases.yml ➤ Fichier de configuration pour les bases de données, typique des frameworks comme Symfony.
• /config/secrets.yml ➤ Fichier contenant des secrets d’application (JWT keys, API keys, etc.), typique de Symfony.
• /core/.env ➤ Fichier d’environnement au niveau du noyau de l'application, contenant potentiellement des secrets critiques.
• /deployment-config.json ➤ Fichier de déploiement pouvant contenir des infos sur l’architecture ou les scripts de déploiement.
• /etc/mail/sendmail.cf ➤ Fichier de configuration de Sendmail, exposant des règles de messagerie et de relais.
• /etc/postfix/main.cf ➤ Fichier de configuration de Postfix, pouvant révéler des infos sur les serveurs de mail.
• /mailer.ini ➤ Fichier INI potentiellement contenant des paramètres SMTP ou de mailer personnalisés.
• /settings.py ➤ Fichier de configuration principal pour Django, souvent porteur de clés secrètes et configs base de données.
• /sftp-config.json ➤ Fichier de config FTP/SFTP dans les éditeurs comme Sublime Text, contenant des identifiants sensibles.
• /_fragment ➤ Fragment d’URL potentiellement utilisé dans des attaques sur des applications Symfony mal configurées (ex : injection via l’outil d’aperçu de fragments côté serveur).

Vous avez observé ce genre d’activité sur votre site ? Vous n’êtes pas seul.