 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Tentative d'intrusion ou problème système? | |
| pwetpwet | ben j'ai jamais trouvé la bonne formule pour logger ce truc dans l'autre fichier :/ |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| pwetpwet | ben j'ai jamais trouvé la bonne formule pour logger ce truc dans l'autre fichier :/ |
| asphro | .ida c'est code red je crois et les /script/vt....%250xxx c'est nimda je crois ;) |
| pwetpwet | si t'as la bonne regexp pour les .ida (nimda V1 si j'ai bien suivi ) je suis preneur ;) |
| asphro | oki thx a toi !!!
|
| pwetpwet | un exemple chez moi . Par contre j'ai pas trouvé la bonne regexp pour les .ida .
SetEnvIf Request_URI "\.ida" nolog SetEnvIf Request_URI "\.exe$" nolog # SetEnvIf Request_URI "\.(gif|css)$" nolog CustomLog /web/apache/logs/access_log combined env=!nolog CustomLog /web/apache/logs/referer_log referer env=!nolog CustomLog /web/apache/logs/attack.access_log common env=nolog nolog est une variable. C'est pas un prédéfini d'apache |
| asphro | j ai entendu dire (plutot vu ecris) mais j ai jamais chercher et jamais vu comment faire on doit joué sur les customlog ? |
| pwetpwet |
|
| djoh |
|
| asphro | et oui c horrible j en ai chopé en 8mois 53mo de log de ca
le truc qui pourri bien koi |
| lebibi | moi aussi j'ai des attaques et je ne suis pas souvent up (because aol en rtc)
206.154.118.2 - - [28/Jun/2002:21:56:44 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 206.154.118.2 - - [28/Jun/2002:21:56:45 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 206.154.118.2 - - [28/Jun/2002:21:56:46 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 206.154.118.2 - - [28/Jun/2002:21:56:47 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 206.154.118.2 - - [28/Jun/2002:21:56:48 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 206.154.118.2 - - [28/Jun/2002:21:56:49 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 206.154.118.2 - - [28/Jun/2002:21:56:51 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 206.154.118.2 - - [28/Jun/2002:21:56:52 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 |
| BMOTheKiller |
|
| tatanka |
|
| BMOTheKiller |
|
| Phoenix |
|
| tatanka |
|
| BMOTheKiller |
|
| BMOTheKiller | ben si dans le cas où tu échanges des fichiers infectés....
disons qu'un serveur de téléchargement a été infecté, le vers se propage sur la machine et sur le réseau tant qu'il n'a pas été détecté puis nettoyé, toi tu arrives pour télécharger un fichier sur ce srveur, si ce fichier est infecté, tu as gagné un nouveau compagnon :D (pour les machines win bien sûr), je ne sais pas ce que donne ce vers en émulation.... quelqu'un a essayé sous vmware ou avec wine ? :D :hello: |
| tatanka | ce que je trouve bizarre c'est qu'il est réussi à se propager jusqu'à moi, alors que mon PC est juste un serveur de test et que y-a pas grand monde à en connaitre l'existance
il doit scanner les ports aussi, j'imagine... |
| tatanka |
|
| BMOTheKiller | ben il exploite une faille des serveurs IIS (non patchés, faut pas l'oublier celui-là) pour infecter les fichiers .exe que tu peux voir dans les tentatives d'attaque : root.exe, cmd.exe, ... bref en infectant ces fichiers, il aura le contrôle de toute la machine, il mutera et modifiera tous les fichiers qu'il connait, il ira aussi squatter ton navigateur espérant ainsi que tu iras consulter des serveurs où il pourra se propager....
en fait quand tu visites un serveur infecté, il t'ouvre une toute petite fenêtre dans un coin inacessible de ton bureau (c'est valable pour win seulement il me semble, la petite fenêtre se trouve qq part dans les 6000 et des poussières, bref la résolution de ta carte graphique ne permet même pas d'afficher cette partie du bureau), je ne sais pas trop où ça en est maintenant, mais un moment il était impossible de le supprimer sans que tous les fichiers infectés soient eux aussi supprimés, bref le formatage était la meilleure solution, mais ce petit méchant est bien sûr capable de sauter de partition en partition, donc nettoyage complet :/, maintenant il doit être possible de le supprimer sans virer les fichiers, mais là je n'en suis pas sûr, il faut regarder sur les sites traitant de ce virus pour plus d'info :hello: |
| asphro | il te donne un acces en cmdline ... |
| tatanka |
|
| BMOTheKiller | c'est le virus (vers) nimda (admin), tu ne risques rien vu que c'est un vers qui s'attaque aux serveurs IIS de M$ non patchés... les tentatives d'attaque que tu as là sont justement des serveurs qui ont été infectés, nimda essaye de se répendre sur d'autres serveurs, à part te remplir tes logs, tu ne risques vraiment rien
il faut savoir que nimda s'attaque aux fichiers .exe, .html, ..... :hello: |
| tatanka | ah ben d'accord ...
moi j'y connais que dalle, c'est la premiere fois que je mets le nez dans mes logs vous pouvez me dire vite fait ce que c'est que tout ça :
|
| BMOTheKiller | moi je me tape des attaques du genre là en plus de celles de nimbda sur mon serveur apache :
[IP MASQUEE] - - [19/May/2002:19:10:12 +0200] "HEAD%00 /%20HTTP/1.0%0D%0A%0D%0AAccept%3A%20kgehhegqjaf/../../index.html%3foawylnciqrxakmvsav=/..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.././ HTTP/1.0" 501 707 ça c'est une ligne seulement, il y en a une quinzaine comme celle-ci à suivre, et c'est répété plusieurs fois dans le fichier de log étrange aussi :( :hello: |
| THE REAL XPOULET | Désolé, je ne peux pas te venir en aide, mais je peux apporter mon petit up.
:bounce: |
| Nicool | pouet |
| Nicool | ? |
| Nicool | comme je ne me sert pas de NFS je peux desctiver statd?
ça n'interferera pas avec d'autres services ? sinon j'ai trouvé le truc suivant: http://www.cert.org/advisories/CA-2000-17.html c'est relou putain; on peu savoir l'IP qui a tenté de faire ça ? |
| Nicool | En ce moment en plus des milliers de nimda qui hantent mes logs http;
je vois de plus en plus de tentatives de connexions d'utilisateurs via FTP ... et hier j'ai vu le message suivant: ça ressemble pas à une technique de buffer overflow ? (j'y connais pas grand chose sonc soyez indulgent si je dis des conneries)
|
