Re: log server web

2003-01-15 Par sujet Alain Tesio 
J'ai envoyé un script qui réponds à l'attaque, tu peux t'en inspirer si tu veux
déclencher une réponse active, mais franchement le mieux à faire est de
les ignorer, ou créer des fichiers bidons si tu n'aimes pas les erreurs 404.

Si tu penses à prévenir les admins ou les ISPs du site infecté, c'est comme
pour les spams, au début tu es pleins de bonnes intentions et quand tu vois
le résultat, tu abandonnes.

http://linuxfr.org/comments/149777.html

Alain

Re: log server web

2003-01-15 Par sujet Jean-Michel OLTRA 
Le mercredi 15 janvier 2003, Loïc Le Guyader a écrit...
bonjour,


> Bon, d'après tout ce qui m'a été dit, ce sont des attaques de
> vers. Donc ce serait bien de prévenir les gens infectés. La seule voie
> possible est-elle un mail à abuse du whois de l'adresse ip, avec
> le bout de log concerné?

Pour un ami j'avais fait une recherche sur Nimda et j'avais trouvé une
manip qui permet de rediriger les logs issus du scan vers un autre site:
un site réel ou une adresse fantaisiste.

Tu peux essayer cette piste, je n'ai pas retrouvé le lien.
-- 
jean-michel

Re: log server web

2003-01-15 Par sujet Dominique Arpin 

> Si c'est le cas, connaissez vous un programme qui le fait
> automatiquement. Il en existe pour les firewall, mais j'ai pas trouvé
> pour les log de server web (le mien c'est thttpd). Parce qu'en même pas
> 24h, j'ai déjà 283 lignes, alors que je me suis connecté que deux fois
> à ma page!
Une facon simple pour eliminer 90% des logs de Nimda.

dans ton repertoire web tu vas cree 2 fichiers
touch cmd.exe
touch default.ida

Comme ca le vers Nimda va penser que tu es infecter et il ne fera plus de
tentative d'infection.
-- 
Dominique Arpin___[   espace
gestionnaire réseau courbe]

  http://www.espacecourbe.com/
  téléphone514.933.9861
  télécopieur  514.933.9546

Re: log server web

2003-01-15 Par sujet Nicolas C. 
Le mercredi 15 janvier 2003 à 13:37, Loïc Le Guyader écrivait :
 
> La lecture de http://linuxfr.org/2001/09/28/5172.html (qui date de
> 2001!) me laisse entrevoir qu'il y a pas grand chose à faire :-(

Apparemment ton serveur httpd ne sert qu'a vérifier si ton serveur est
toujours "up". Déjà c'est peu bourrin comme technique ;) alors qu'un
simple ping sur ta machine ferait l'affaire (sauf si tu bloques les
pings). Enfin pour en revenir à ton histoire si l'IP d'où tu testes
ton serveurs est fixe, tu peux toujours interdire l'accés au port 80
de ton serveur et le laisser ouvert uniquement pour l'IP d'où tu
vérifie l'état du serveur.
 
-- 
Mail   : Bounga at altern.org
Clef GPG   : http://linuxpower.free.fr/bounga.asc

Re: log server web

2003-01-15 Par sujet Loïc Le Guyader 
Le 15 janvier 2003, Thomas Clavier, à bout, prit son clavier pour
taper sur son écran:
> >C'est bien des attaques ça? Et si oui, c'est dégueulasse de faire un
> >abuse?
> 
> attaque de ver à la recherche de serveur IIS :-) le proprio de la 
> machine infecté n'est sans doute pas au courant de l'existance de telle 
> cochonerie.

Bon, d'après tout ce qui m'a été dit, ce sont des attaques de
vers. Donc ce serait bien de prévenir les gens infectés. La seule voie
possible est-elle un mail à abuse du whois de l'adresse ip, avec
le bout de log concerné?

Si c'est le cas, connaissez vous un programme qui le fait
automatiquement. Il en existe pour les firewall, mais j'ai pas trouvé pour
les log de server web (le mien c'est thttpd). Parce qu'en même pas
24h, j'ai déjà 283 lignes, alors que je me suis connecté que deux fois
à ma page!

La lecture de http://linuxfr.org/2001/09/28/5172.html (qui date de
2001!) me laisse entrevoir qu'il y a pas grand chose à faire :-(

C'est comme les spam que l'ont reçoit et que lorsque l'on mail à
abuse, ils nous répondent toujours que ça vient pas d'eux!

Le net, c'est vraiment la jungle.

@+

-- 
Toy Story: > US$161M domestic box office receipts so far.


pgpCRHvgdcWGf.pgp
Description: PGP signature

Re: log server web

2003-01-15 Par sujet William H. 
Le mer 15/01/2003 à 11:45, Loïc Le Guyader a écrit :
> Salut à tous,
> J'ai installer hier un server web avec une seule page pour vérifier
> très simplement si ma machine est connectée.
> 
> Ce matin je regarde les logs de ce server, et surprise, j'ai plein de
> requêtes mais pas pour voir index.html:
> xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:54 +0100] "GET 
> /scripts/root.exe?/c+dir HTTP/
> 1.0" 404 0 "" ""
> xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:56 +0100] "GET 
> /scripts/..%255c../winnt/syste
> m32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
> xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:58 +0100] "GET 
> /msadc/..%255c../..%255c../..%
> 255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 
> 40
> 4 0 "" ""
> xxx.xxx.xxx.xxx - - [14/Jan/2003:20:33:12 +0100] "GET 
> /default.ida?NNN
> 
> 
>  HTTP/1.0" 404 0 "" ""
> 
Si je ne m'abuse ç'est du nimda ou un truc dans le genre, peut être un
serveur IIS vérolé..
Jette un oeil la dessus :
http://linuxfr.org/2001/09/28/5172.html
(vers le milieu de la page
> [...]
> 
> C'est bien des attaques ça? Et si oui, c'est dégueulasse de faire un
> abuse?
> 
Si c'est toujours la même ip pourquoi pas mais tu as combien d'entrées
du style au dessus??
> @+
@++
William


signature.asc
Description: PGP signature

Re: log server web

2003-01-15 Par sujet Dominique Marin 
Le  Wed, 15 Jan 2003 11:45:52 +0100, dans son impérissable
 log server web, 
Loïc Le Guyader <[EMAIL PROTECTED]> écrivait :


|> xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:54 +0100] "GET
|> /scripts/root.exe?/c+dir HTTP/ 1.0" 404 0 "" ""
|> xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:56 +0100] "GET
|> /scripts/..%255c../winnt/syste m32/cmd.exe?/c+dir HTTP/1.0" 404 0 ""
|> "" xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:58 +0100] "GET
|> /msadc/..%255c../..%255c../..%
|> 255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
|> HTTP/1.0" 40 4 0 "" ""
|> xxx.xxx.xxx.xxx - - [14/Jan/2003:20:33:12 +0100] "GET
|> /default.ida?NNN
|> 
|> 
|> 
|>   HTTP/1.0" 404 0 "" ""

C'est des attaques, mais tu auras du mal pour te plaindre, car le
responsable a toute les chances d'être le virus Nimda qui, d'une autre
machine vient questionner la tienne. Et comme Winnt/system32/cmd.exe il
risque de chercher longtemps chez Debian... Dors tranquille (ZZ...)


-- 
_ _  ___  __
* Dominique Marin */__  ___//| |/ // / \\  * *
* http://txodom.free.fr */ //|   // /  //  // *  GNU *
* [EMAIL PROTECTED]  * / ///   || /  //  // * LINUX *
* [EMAIL PROTECTED]*  /_///_/|_|| \_// * DEBIAN *

Re: log server web

2003-01-15 Par sujet Nicolas Évrard 
* Loïc Le Guyader <[EMAIL PROTECTED]> [15/01/2003 10:45:52] :

Salut,

> xxx.xxx.xxx.xxx - - [14/Jan/2003:20:33:12 +0100] "GET 
> /default.ida?NNN
> 
> 
>  HTTP/1.0" 404 0 "" ""
> 
> [...]
> 
> C'est bien des attaques ça? Et si oui, c'est dégueulasse de faire un
> abuse?

Une rapide recherche sur le net montre qu'en fait ceci est un ver,
nommément Code Red II, qui s'attaque à IIS.

Plus d'info là : http://www.thesitewizard.com/news/coderediiworm.shtml

Pour nous, c'est juste énervant parceque ça bouffe de la bande passante.

Re: log server web

2003-01-15 Par sujet Nicolas C. 
Le mercredi 15 janvier 2003 à 11:45, Loïc Le Guyader écrivait :
> Salut à tous,

Salut,

> C'est bien des attaques ça? Et si oui, c'est dégueulasse de faire un
> abuse?

Ce ne sont pas réellement des attaques en tant que telles mais plutôt
des scans pour trouver des failles. Bon s'ils font ça c'est pour
attaquer ensuite si une faille est détectée, c'est vrai.

Ce sont sûrement des "script kiddies" qui scans aux hasard ... pour
faire des attaques au hasard ...

Donc l'abuse, dégueulasse non je ne pense pas, c'est là pour ça mais
sache que ça n'ira pas très loin de toute façon. Je sais même pas si
les auteurs seront contactés. Pour qu'il y est des représailles ils
faut faire quelque chose de plus complet que mailer à l'"abuse". Mais
d'après ce que je lis, tu ne veux pas que ça aille loin. Donc un mail
à "abuse" est justifié oui et n'ai pas dégueulasse selon moi.

Bye.

P.S : les scans montrent des recherches de failles qui ne peuvent
aucunement d'atteindre, ce sont des failles pour IIS si je ne me
trompe pas.

-- 
Mail   : Bounga at altern.org
Clef GPG   : http://linuxpower.free.fr/bounga.asc

Re: log server web

2003-01-15 Par sujet Thomas Clavier 

Loïc Le Guyader wrote:

Salut à tous,
[...]

C'est bien des attaques ça? Et si oui, c'est dégueulasse de faire un
abuse?


attaque de ver à la recherche de serveur IIS :-) le proprio de la 
machine infecté n'est sans doute pas au courant de l'existance de telle 
cochonerie.



--
Thomas Clavier   http://www.tcweb.dyndns.org
Division Ressources&Compétences (Département Client/Serveur)
Adventec Lille
+33 (0)3 20 18 53 02 - +33 (0)6 20 81 81 30

Re: log server web

2003-01-15 Par sujet Frédéric Massot 

Loïc Le Guyader wrote:

Salut à tous,
J'ai installer hier un server web avec une seule page pour vérifier
très simplement si ma machine est connectée.

Ce matin je regarde les logs de ce server, et surprise, j'ai plein de
requêtes mais pas pour voir index.html:
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:54 +0100] "GET /scripts/root.exe?/c+dir 
HTTP/
1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:56 +0100] "GET 
/scripts/..%255c../winnt/syste
m32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:58 +0100] "GET 
/msadc/..%255c../..%255c../..%
255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 40
4 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:20:33:12 +0100] "GET 
/default.ida?NNN


 HTTP/1.0" 404 0 "" ""

[...]

C'est bien des attaques ça? Et si oui, c'est dégueulasse de faire un
abuse?


Pas de problème avec Apache, se sont des attaques du vers Nimda vers les 
serveurs IIS.


Il reste pas mal de machines Windows infectées. Le vers scan le réseau 
pour trouver une cible (serveur IIS) à infecter.


--
==
|  FREDERIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:[EMAIL PROTECTED]   |
===Debian=GNU/Linux===

log server web

2003-01-15 Par sujet Loïc Le Guyader 
Salut à tous,
J'ai installer hier un server web avec une seule page pour vérifier
très simplement si ma machine est connectée.

Ce matin je regarde les logs de ce server, et surprise, j'ai plein de
requêtes mais pas pour voir index.html:
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:54 +0100] "GET /scripts/root.exe?/c+dir 
HTTP/
1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:56 +0100] "GET 
/scripts/..%255c../winnt/syste
m32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:14:05:58 +0100] "GET 
/msadc/..%255c../..%255c../..%
255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 40
4 0 "" ""
xxx.xxx.xxx.xxx - - [14/Jan/2003:20:33:12 +0100] "GET 
/default.ida?NNN


 HTTP/1.0" 404 0 "" ""

[...]

C'est bien des attaques ça? Et si oui, c'est dégueulasse de faire un
abuse?

@+

-- 
Toy Story: > US$174M domestic box office receipts so far.
One Oscar so far (in the Special Achievement category).


pgp1PUtwgyG1p.pgp
Description: PGP signature