truc zarb dans mon log d'acces apache - Linux et OS Alternatifs
Marsh Posté le 10-08-2002 à 19:05:34
nimda attaque
tu risques rien, il cherche des trus windowsiens
Marsh Posté le 10-08-2002 à 19:06:01
par contre ça te pollue tes log cette connerie, incroyable
c'est un serveur important ?
Marsh Posté le 10-08-2002 à 19:12:33
bhen pour le momment non mais a la rentrée, je dois accueullir des trucs un peu plus chauds...
comment je securise contre ce type de conneries / pollution ?
je peux m'addresser au proivider contre le joe ?
Marsh Posté le 10-08-2002 à 19:16:03
netswitch a écrit a écrit : bhen pour le momment non mais a la rentrée, je dois accueullir des trucs un peu plus chauds... comment je securise contre ce type de conneries / pollution ? je peux m'addresser au proivider contre le joe ? |
non,tu verras avec le temps que ça vient de plein d'ip différentes
ça s'est répandu à une vitesse alucinante
y-en a plein partout sur le web maintenant, sur des serveurs ou PC windows de merde sans antivirus à jour ...
la seule solution que j'ai trouvé c'est changé le port découte (vu qu'il attaque uniquement sur le port 80) mais si tu attends du monde à venir dessus c'est p-t pas la meilleur solution : ils vont pas comprendre pk ils réussissent pas à accéder à la page en mettant la bonne url
c'est à toi de voir, mais c'est très efficace comme solution
Marsh Posté le 10-08-2002 à 19:20:19
haba vi masi non, le coup du port, c pas bon, ça doit etre ouvert comme il faut..
a moins que l'on puisse mettre dans le dns une correspondance du style:
www.machine.com => 168.168.255.25:81
c donc pas une tentative d'attaque ?
ces trucs apparaissent chaque fois qu'un gars infecté visite le site ?
Marsh Posté le 10-08-2002 à 19:20:19
Attendu qu'il attaque par l'addresse IP, isi on utilise un virtual host, on arrive à séparer les deux. Les gents qui accèdent au site par le nom vont dans un log, ceux par l'IP dans un autre.
Marsh Posté le 10-08-2002 à 19:27:12
Yep les virtual host c pas mal
Je choppe toute ces saloperies dans mon domaine pas defaut ( au fait, une page qui dit que le site n'existe pas ). Et aussi ca protege contre les scripts kiddies. Parce que la plus part de ceux ci prenne une ip et pas de nom de domaine donc genre les scripts qui sont capable de planter ton apache parce que une de tes pages est en php, marche pas vu que y a pas de php sur le catch all.
Marsh Posté le 10-08-2002 à 19:33:48
mmh merda, c déja sur un virtual host... (d'ailleurs, c le log de ce virtual host)
Marsh Posté le 10-08-2002 à 19:35:17
Au fait quand tu utilise les virtual host, le premier ( ou le dernier me rapelle plus ) que tu defini ca vas être le "catch all" cad que c'est celui qui vas servir pour tout les host dont l'ip correspond a ta machine mais sans etre repris par les autre virtual host ( et donc aussi pour ceux qui accede via l'ip, sans host )
Marsh Posté le 10-08-2002 à 19:39:48
ok, merci de l'info, je crée de suite un virtual host bidon pour se prendre toutes ces crasses !
Marsh Posté le 10-08-2002 à 19:52:08
SetEnvIf Request_URI "\.exe$" nolog
SetEnvIf Request_URI "b\.cgi" nolog
CustomLog /web/apache/logs/access_log combined env=!nolog
CustomLog /web/apache/logs/referer_log referer env=!nolog
CustomLog /web/apache/logs/attack.access_log common env=nolog
Marsh Posté le 10-08-2002 à 19:53:25
les 2 premières lignes, je pige
les 3 dernières, je suis pas contre un ou 2 mots d'explication
Marsh Posté le 10-08-2002 à 19:54:48
tu définis une variable : nolog (tu pourrais aussi l'appeler choux fleur)
ensuite les logs seront répartis en fonction de l'URI traité.
je met tous les exe dans un fichier à part ainsi que b.cgi , un truc bizarre que j'ai eu il y a qq jours.
avant je mettais aussi les gif , css et compagnie quand j'avais un web , car ca pollue gravement les logs ca aussi
Marsh Posté le 10-08-2002 à 19:55:34
en fait tu definis une regexp dans le SetEnvIf . Probleme de ma regexp , tous les exe , meme ceux dl depuis mon web sont bourrés dans ce fichier poubelle
Marsh Posté le 10-08-2002 à 20:00:40
je veins de fair une recherche sur nimda, j'ai trouvé d'autres trucs qui ont l'air moins restrictifs :
http.conf :
SetEnvIf Request_URL "\.ida" virus
CustomLog /dev/null common env=virus
CustomLog /web/apache/logs/access_log common env=!virus
ou encore :
le log d'accès :
Le but est d'empêcher le log de tout tentative d'accès par nimda.
ajoutez
SetEnvIf Request_URI \cmd.exe|\root.exe nimda
(c'est bien URI et non pas URL !)
modifiez
Customlog /../../access_log common env=!nimda
le log d'erreur :
Le but est d'empêcher le log d'erreur 404 créé par nimda.
Ajoutez dans le
<IfModule mod_alias.c>
RedirectMatch (.*)\root.exe$ http://NimdaIsNotForMe.invalid$1
RedirectMatch (.*)\cmd.exe$ http://NimdaIsNotForMe.invalid$1
</IfModule>
trucs venant de marcp et de etheral
Marsh Posté le 10-08-2002 à 19:04:00
hello, j'ai ça dans mon log apache, ça correspond q quoi ?
217.136.25.57 - - [10/Aug/2002:16:57:29 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 292
217.136.25.57 - - [10/Aug/2002:16:57:30 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 290
217.136.25.57 - - [10/Aug/2002:16:57:31 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.25.57 - - [10/Aug/2002:16:57:32 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.25.57 - - [10/Aug/2002:16:57:33 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:08 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 292
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 290
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331
217.136.45.87 - - [10/Aug/2002:17:21:10 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331
217.136.45.87 - - [10/Aug/2002:17:21:12 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 347
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 297
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 297
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:17 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314