truc zarb dans mon log d'acces apache

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : truc zarb dans mon log d'acces apache

netswitch

minet ?

hello, j'ai ça dans mon log apache, ça correspond q quoi ?

217.136.25.57 - - [10/Aug/2002:16:57:29 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 292
217.136.25.57 - - [10/Aug/2002:16:57:30 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 290
217.136.25.57 - - [10/Aug/2002:16:57:31 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.25.57 - - [10/Aug/2002:16:57:32 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.25.57 - - [10/Aug/2002:16:57:33 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:08 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 292
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 290
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:09 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331
217.136.45.87 - - [10/Aug/2002:17:21:10 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331
217.136.45.87 - - [10/Aug/2002:17:21:12 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 347
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:15 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 313
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 297
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 297
217.136.45.87 - - [10/Aug/2002:17:21:16 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314
217.136.45.87 - - [10/Aug/2002:17:21:17 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314

Publicité

djoh

nimda attaque
tu risques rien, il cherche des trus windowsiens

djoh

par contre ça te pollue tes log cette connerie, incroyable :ouch:

c'est un serveur important ?

Message édité par djoh le 10-08-2002 à 19:06:20

netswitch

minet ?

bhen pour le momment non mais a la rentrée, je dois accueullir des trucs un peu plus chauds...

comment je securise contre ce type de conneries / pollution ?

je peux m'addresser au proivider contre le joe ?

djoh

netswitch a écrit a écrit :

bhen pour le momment non mais a la rentrée, je dois accueullir des trucs un peu plus chauds...

comment je securise contre ce type de conneries / pollution ?

je peux m'addresser au proivider contre le joe ?

non,tu verras avec le temps que ça vient de plein d'ip différentes
ça s'est répandu à une vitesse alucinante
y-en a plein partout sur le web maintenant, sur des serveurs ou PC windows de merde sans antivirus à jour ...
la seule solution que j'ai trouvé c'est changé le port découte (vu qu'il attaque uniquement sur le port 80) mais si tu attends du monde à venir dessus c'est p-t pas la meilleur solution : ils vont pas comprendre pk ils réussissent pas à accéder à la page en mettant la bonne url

c'est à toi de voir, mais c'est très efficace comme solution

netswitch

minet ?

haba vi masi non, le coup du port, c pas bon, ça doit etre ouvert comme il faut..

a moins que l'on puisse mettre dans le dns une correspondance du style:
www.machine.com => 168.168.255.25:81

c donc pas une tentative d'attaque ?
ces trucs apparaissent chaque fois qu'un gars infecté visite le site ?

kadreg

profil: Utilisateur

Attendu qu'il attaque par l'addresse IP, isi on utilise un virtual host, on arrive à séparer les deux. Les gents qui accèdent au site par le nom vont dans un log, ceux par l'IP dans un autre.

---------------
brisez les rêves des gens, il en restera toujours quelque chose... -- laissez moi troller sur discu !

246tNt

Resistance is futile

Yep les virtual host c pas mal
Je choppe toute ces saloperies dans mon domaine pas defaut ( au fait, une page qui dit que le site n'existe pas ). Et aussi ca protege contre les scripts kiddies. Parce que la plus part de ceux ci prenne une ip et pas de nom de domaine donc genre les scripts qui sont capable de planter ton apache parce que une de tes pages est en php, marche pas vu que y a pas de php sur le catch all.

netswitch

minet ?

mmh merda, c déja sur un virtual host... (d'ailleurs, c le log de ce virtual host)

246tNt

Resistance is futile

Au fait quand tu utilise les virtual host, le premier ( ou le dernier me rapelle plus ) que tu defini ca vas être le "catch all" cad que c'est celui qui vas servir pour tout les host dont l'ip correspond a ta machine mais sans etre repris par les autre virtual host ( et donc aussi pour ceux qui accede via l'ip, sans host )

Publicité

netswitch

minet ?

ok, merci de l'info, je crée de suite un virtual host bidon pour se prendre toutes ces crasses !

superX

SetEnvIf Request_URI "\.exe$" nolog
SetEnvIf Request_URI "b\.cgi" nolog
CustomLog /web/apache/logs/access_log combined env=!nolog
CustomLog /web/apache/logs/referer_log referer env=!nolog
CustomLog /web/apache/logs/attack.access_log common env=nolog

netswitch

minet ?

les 2 premières lignes, je pige
les 3 dernières, je suis pas contre un ou 2 mots d'explication

superX

tu définis une variable : nolog (tu pourrais aussi l'appeler choux fleur)

ensuite les logs seront répartis en fonction de l'URI traité.

je met tous les exe dans un fichier à part ainsi que b.cgi , un truc bizarre que j'ai eu il y a qq jours.

avant je mettais aussi les gif , css et compagnie quand j'avais un web , car ca pollue gravement les logs ca aussi

superX

en fait tu definis une regexp dans le SetEnvIf . Probleme de ma regexp , tous les exe , meme ceux dl depuis mon web sont bourrés dans ce fichier poubelle

netswitch

minet ?

je veins de fair une recherche sur nimda, j'ai trouvé d'autres trucs qui ont l'air moins restrictifs :

http.conf :
SetEnvIf Request_URL "\.ida" virus
CustomLog /dev/null common env=virus
CustomLog /web/apache/logs/access_log common env=!virus

ou encore :

le log d'accès :
Le but est d'empêcher le log de tout tentative d'accès par nimda.
ajoutez
SetEnvIf Request_URI \cmd.exe|\root.exe nimda
(c'est bien URI et non pas URL !)
modifiez
Customlog /../../access_log common env=!nimda

le log d'erreur :
Le but est d'empêcher le log d'erreur 404 créé par nimda.
Ajoutez dans le
<IfModule mod_alias.c>
RedirectMatch (.*)\root.exe$ http://NimdaIsNotForMe.invalid$1
RedirectMatch (.*)\cmd.exe$ http://NimdaIsNotForMe.invalid$1
</IfModule>

trucs venant de marcp et de etheral

Message édité par netswitch le 10-08-2002 à 20:01:17

superX

j'achete

FORUM HardWare.fr

Linux et OS Alternatifs

truc zarb dans mon log d'acces apache

Sujets relatifs
Apache probleme avec libdb.so.2 sous debian unstable.	Cherche 2 fichiers, Apache pour Mandrake.
[apache 1.3.26] VirtualHost overlaps / NameVirtualHost	Droits d'acces sur des devices ??
[APACHE] Problème d'install	Trust Direct Acces Keyboard
Comment amoindrir les acces disque sous Linux ?	[ FreeBsd 4.4 ] - comment allouer plus de ressources a Apache ?
Apache + fichier pdf =probleme	[apache] authentification .htaccess bdd mysql
Plus de sujets relatifs à : truc zarb dans mon log d'acces apache

Page générée en 0.069 secondes