Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1093 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  truc zarb dans mon log d'acces apache

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

truc zarb dans mon log d'acces apache

n°137353
netswitch
minet ?
Posté le 10-08-2002 à 19:04:00  profilanswer
 

hello, j'ai ça dans mon log apache, ça correspond q quoi ?
 
217.136.25.57 - - [10/Aug/2002:16:57:29 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 292
217.136.25.57 - - [10/Aug/2002:16:57:30 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 290
217.136.25.57 - - [10/Aug/2002:16:57:31 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.25.57 - - [10/Aug/2002:16:57:32 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.25.57 - - [10/Aug/2002:16:57:33 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:08 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 292
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 290
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331
217.136.45.87 - - [10/Aug/2002:17:21:10 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331
217.136.45.87 - - [10/Aug/2002:17:21:12 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 347
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 297
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 297
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:17 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
 

mood
Publicité
Posté le 10-08-2002 à 19:04:00  profilanswer
 

n°137355
djoh
Posté le 10-08-2002 à 19:05:34  profilanswer
 

nimda attaque  :D  
tu risques rien, il cherche des trus windowsiens  ;)

n°137356
djoh
Posté le 10-08-2002 à 19:06:01  profilanswer
 

par contre ça te pollue tes log cette connerie, incroyable :ouch:
 
c'est un serveur important ?


Message édité par djoh le 10-08-2002 à 19:06:20
n°137358
netswitch
minet ?
Posté le 10-08-2002 à 19:12:33  profilanswer
 

bhen pour le momment non mais a la rentrée, je dois accueullir des trucs un peu plus chauds...
 
comment je securise contre ce type de conneries / pollution ?
 
je peux m'addresser au proivider contre le joe ?
 

n°137360
djoh
Posté le 10-08-2002 à 19:16:03  profilanswer
 

netswitch a écrit a écrit :

bhen pour le momment non mais a la rentrée, je dois accueullir des trucs un peu plus chauds...
 
comment je securise contre ce type de conneries / pollution ?
 
je peux m'addresser au proivider contre le joe ?
 
 




 
non,tu verras avec le temps que ça vient de plein d'ip différentes
ça s'est répandu à une vitesse alucinante
y-en a plein partout sur le web maintenant, sur des serveurs ou PC windows de merde sans antivirus à jour ...
la seule solution que j'ai trouvé c'est changé le port découte (vu qu'il attaque uniquement sur le port 80) mais si tu attends du monde à venir dessus c'est p-t pas la meilleur solution : ils vont pas comprendre pk ils réussissent pas à accéder à la page en mettant la bonne url
 
c'est à toi de voir, mais c'est très efficace comme solution

n°137361
netswitch
minet ?
Posté le 10-08-2002 à 19:20:19  profilanswer
 

haba vi masi non, le coup du port, c pas bon, ça doit etre ouvert comme il faut..
 
a moins que l'on puisse mettre dans le dns une correspondance du style:  
www.machine.com => 168.168.255.25:81
 
c donc pas une tentative d'attaque ?
ces trucs apparaissent chaque fois qu'un gars infecté visite le site ?

n°137362
kadreg
profil: Utilisateur
Posté le 10-08-2002 à 19:20:19  profilanswer
 

Attendu qu'il attaque par l'addresse IP, isi on utilise un virtual host, on arrive à séparer les deux. Les gents qui accèdent au site par le nom vont dans un log, ceux par l'IP dans un autre.


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
n°137363
246tNt
Resistance is futile
Posté le 10-08-2002 à 19:27:12  profilanswer
 

Yep les virtual host c pas mal ;)
Je choppe toute ces saloperies dans mon domaine pas defaut ( au fait, une page qui dit que le site n'existe pas ;) ). Et aussi ca protege contre les scripts kiddies. Parce que la plus part de ceux ci prenne une ip et pas de nom de domaine donc genre les scripts qui sont capable de planter ton apache parce que une de tes pages est en php, marche pas vu que y a pas de php sur le catch all.

n°137366
netswitch
minet ?
Posté le 10-08-2002 à 19:33:48  profilanswer
 

mmh merda, c déja sur un virtual host... (d'ailleurs, c le log de ce virtual host)
 

n°137368
246tNt
Resistance is futile
Posté le 10-08-2002 à 19:35:17  profilanswer
 

Au fait quand tu utilise les virtual host, le premier ( ou le dernier me rapelle plus ) que tu defini ca vas être le "catch all" cad que c'est celui qui vas servir pour tout les host dont l'ip correspond a ta machine mais sans etre repris par les autre virtual host ( et donc aussi pour ceux qui accede via l'ip, sans host )

mood
Publicité
Posté le 10-08-2002 à 19:35:17  profilanswer
 

n°137369
netswitch
minet ?
Posté le 10-08-2002 à 19:39:48  profilanswer
 

ok, merci de l'info, je crée de suite un virtual host bidon pour se prendre toutes ces crasses !
 

n°137370
superX
Posté le 10-08-2002 à 19:52:08  profilanswer
 

SetEnvIf Request_URI "\.exe$" nolog
SetEnvIf Request_URI "b\.cgi" nolog
CustomLog /web/apache/logs/access_log combined env=!nolog
CustomLog /web/apache/logs/referer_log referer env=!nolog
CustomLog /web/apache/logs/attack.access_log common env=nolog

n°137371
netswitch
minet ?
Posté le 10-08-2002 à 19:53:25  profilanswer
 

les 2 premières lignes, je pige
les 3 dernières, je suis pas contre un ou 2 mots d'explication

n°137374
superX
Posté le 10-08-2002 à 19:54:48  profilanswer
 

tu définis une variable : nolog  (tu pourrais aussi l'appeler choux fleur)
 
ensuite les logs seront répartis en fonction de l'URI traité.  
 
je met tous les exe dans un fichier à part ainsi que b.cgi , un truc bizarre que j'ai eu il y a qq jours.
 
avant je mettais aussi les gif , css et compagnie quand j'avais un web , car ca pollue gravement les logs ca aussi

n°137375
superX
Posté le 10-08-2002 à 19:55:34  profilanswer
 

en fait tu definis une regexp dans le SetEnvIf .  Probleme de ma regexp , tous les exe , meme ceux dl depuis mon web sont bourrés dans ce fichier poubelle

n°137376
netswitch
minet ?
Posté le 10-08-2002 à 20:00:40  profilanswer
 

je veins de fair une recherche sur nimda, j'ai trouvé d'autres trucs qui ont l'air moins restrictifs :  
 
http.conf :
SetEnvIf Request_URL "\.ida" virus
CustomLog /dev/null common env=virus
CustomLog /web/apache/logs/access_log common env=!virus
 
ou encore :  
 
le log d'accès :
Le but est d'empêcher le log de tout tentative d'accès par nimda.
ajoutez
SetEnvIf Request_URI \cmd.exe|\root.exe nimda
(c'est bien URI et non pas URL !)
modifiez
Customlog /../../access_log common env=!nimda
 
 
le log d'erreur :
Le but est d'empêcher le log d'erreur 404 créé par nimda.
Ajoutez dans le  
<IfModule mod_alias.c>
 RedirectMatch (.*)\root.exe$ http://NimdaIsNotForMe.invalid$1
 RedirectMatch (.*)\cmd.exe$ http://NimdaIsNotForMe.invalid$1
</IfModule>
 
 
 
trucs venant de marcp et de etheral


Message édité par netswitch le 10-08-2002 à 20:01:17
n°137377
superX
Posté le 10-08-2002 à 20:03:31  profilanswer
 

j'achete ;)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  truc zarb dans mon log d'acces apache

 

Sujets relatifs
Apache probleme avec libdb.so.2 sous debian unstable.Cherche 2 fichiers, Apache pour Mandrake.
[apache 1.3.26] VirtualHost overlaps / NameVirtualHostDroits d'acces sur des devices ??
[APACHE] Problème d'installTrust Direct Acces Keyboard
Comment amoindrir les acces disque sous Linux ?[ FreeBsd 4.4 ] - comment allouer plus de ressources a Apache ?
Apache + fichier pdf =probleme[apache] authentification .htaccess bdd mysql
Plus de sujets relatifs à : truc zarb dans mon log d'acces apache

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.044 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR