OoO En cette matinée pluvieuse du jeudi 25 décembre 2003, vers 10:45, "Charles Grellois" <[EMAIL PROTECTED]> disait:
>> **apache/error.log: >> #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait >> long >> [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/d/winnt/system32/cmd.exe >> [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe >> [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe >> [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe >> [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/scripts/root.exe > un peu blaireau sur les bords, il a d'abord cru que t'étais sous win > NT. il a donc testé l'exploit classique, garanti script-kiddie Ou alors un vers. C'est en tout cas très courant. > 8 h plus tard, il capte que t'es sous linux et t'envoie un exploit > pour apache, que tu devrais d'ailleurs mettre à jour (1.3.26, c'est > vraiment vieux comme version, maintenant ça s'appelle httpd et c'est > en version 2.0.?, j'ai oublié). utilises aussi les mises à jour > sécurité de debian (option à activer dans apt-setup ou par édition > manuelle du /etc/apt/sources.list , décommente la ligne > correspondante) La 1.3.26 est la dernière stable pour Woody. Les correctifs pour les failles sont backportées vers cette version. >> **syslog: >> Là c'est interessant car il a redemarré à 6H27 en créant un nouveau >> fichier syslog. >> #La fin de l'ancien; syslog.0 >> Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e >> /usr/sbin/anacron || run-parts --report /etc/cron.daily) >> #Et le debut du nouveau >> Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart. >> > il doit avoir l'habitude de cracker du windows, ce qui laisse à > penser que son niveau est assez bas : il redémarre un linux, sans > doute pour appliquer des modifications (!), d'autant plus ridicule > qu'il est root C'est syslog qui fait un rotate de ses logs. Regarde tes logs, tu as exactement la même chose. -- BOFH excuse #285: Telecommunications is upgrading.
pgpKU25Qz4hfa.pgp
Description: PGP signature