Voilà le genre de requêtes que mon serveur Apache logue à longueur de journée :
 
 
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 311 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 309 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 350 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 350 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
" 404 366 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 316 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:20 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 316 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:20 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:23 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
 
 
J'ai jeté un coup d'oeil à des fichiers de règles de snort (que je n'ai pas installé ... pas encore du moins) et il s'agit d'attaques du genre "WEB-IIS File permission canonicalization".
Hier j'en ai reçu à peu près tous les quarts d'heure et ça provenait à chaque fois d'une adresse différente.
 
Je voulais savoir si c'est normal d'en recevoir aussi souvent?
Et est-ce que tous les cracker sont assez cons pour balancer des attaques de IIS sur un serveur Apache sans même vérifier s'il s'agit bien d'un serveur IIS (en l'occurence non)?
 
Question subsidiaire : comment riposter?

Mail a ton FAI?

Comme les failles IIS sont les premiers trucs qu'on apprend equ'on voit kan on traine un peu sur des sites de hack, je suppose que le mec a voulu faire un TP Autrement parades la J connait rien mais si C des attak IIS ta ka laisser faire non ?

Ca ressemble un peu à du nimda ce genre de log...

skoi un syn food ? je connais le ping mais le syn  

tu m'enfonce encore pluce dans le flou  

en fait kan tu te connecte à un ordi, ca se passe en 3 temps : d'abord tu lui dit "Est-ce que je peux me connecter à toi ?" il te répond "oui tu peux" et ensuite tu lui dit "ok alors connectons nous" (en gros) le syn C un des 3 messages, le premier je crois. Donc C pareil que le ping (paske il va lancer un message de réponse) mais en TCP au lieu de ICMP

merci  

 
c'est vrai que c'est malin de flooder une ip dont on ne connait rien    
 
Ca se trouve c'est une petite entreprise qui demande rien a personne et qui ne sait meme pas qu'elle est infectée.
 
Essaye avec ripe.org de déterminer qui est reponsable du range comprenant l'ip, pis mail le reponsable avec les logs a l'appui.
 
Sinon il existe un moyen avec apache de virer ce genre de requetes, avec mod_rewrite, une recherche sur google te donnera les infpos nécessaires.

avec néo ip traceur, tu peux avoir pas mal d'infos sur une ip (région, localisation, fai, etc...)

J'ai également des log de plusieurs kilomètres tous les jours... faut pas s'inquiéter plus que ca... c'est trés souvent du Nimda et compagnie... de jolis vers
Et du moment que ca reste en 404, 500 et autres c'est pas bien grave... de toute facon il n'y a rien à y faire, il faut juste bien protéger son serveur.
 

 
Ouais, tant qu'on me lance des attaques ciblant IIS sur mon serveur Apache, ça va, je me fais pas trop de souci.
Sinon, je peux peut-etre prévenir le FAI. En l'occurence toutes ces attaques proviennent d'adresses wanadoo ... je pense que ce sont des IPs qui appartiennent à leur pool d'IPs dynamiques ADSL ... ça me semble un peu bizarre que ça vienne que de chez wanadoo (moi aussi je suis wanadoo).
Sinon je vais installer hogwash et je mettrai les règles à jour pour pas laisser passer des paquets contenant des attaques (même des attaques IIS, ça polue les logs).
Mais je peux pas bannir les IPs si ce sont des IPs d'un pool d'adresses d'un FAI.

attak iss comme ca ca ressemble comme 2 goutes deau a une attaque de gars voulant faire un stro pour une board comme on en trouve un peu partout ds les bas fond du net. Protege bien ton serveur ou passe en linux c + sur

 
Mais je suis sous linux
Le problème c'est pas que je crains ces attaques de IIS ... puisque de toute façon j'ai pas de IIS, j'ai un Apache sous nux.
Le problème c'est que ces attaques remplissent mes logs et  j'aimerai bien pouvoir faire qquechose pour contrer ça (si ça peut servir je contacterai wanadoo ... mais je me fais pas trop d'illusions sur leur réaction).
Puis un jour ça pourrait être des attaques contre un serveur Apache, donc mieux vaut se protéger ... même sous linux.

C'est un vers automatique qui infecte les serveur IIS qui ne sont pas à jour... ca date d'il y a plus d'une année ce truc.
 
Il scanne des plages d'IPs entières pour trouver des machines vulnérables...
 
Laisse donc tomber !

 
arf dsl pas bien lu  

ya pas moyen de détecter un paquet d'attak et de banir l'IP pendant 5 min ? ca va deja alleger tes logs non ?

 
Ouais, snort pour repérer les paquets d'attaques et un peu de scriptage pour bannir pendant un temps limité.

Si le module SetEnvIf est actif, il y a une solution relativement simple pour ne pas logguer cette pollution avec Apache (http://httpd.apache.org/docs/logs.html):
 
#----------- No Nimda & co ---------
<IfModule mod_setenvif.c>
  SetEnvIf  Request_URI   "^/scripts/"    worm
  SetEnvIf  Request_URI   "default\.ida"  worm
  SetEnvIf  Request_URI   "cmd\.exe"      worm
  SetEnvIf  Request_URI   "root\.exe"     worm
  SetEnvIf  Request_URI   "Admin\.dll"    worm
  # y en a ptet d'autres à bloquer...
</IfModule>
 
# Décommenter la ligne suivante si on veut logger
# ce qui concerne les vers
#CustomLog logs/worm_log   combined  env=worm
 
# Pour le reste des logs
CustomLog logs/access_log      combined  env=!worm
 
#------------
 
 
 Si en plus on a besoin de bloquer les adresses IP, soit on peut utiliser snort ou un reverse proxy (comme Pound) qui peuvent bloquer ces requêtes avant qu'elles soient transmises à Apache, soit on redirige le CustomLog pour les vers vers un petit script qui s'occupe de mettre à jour les règles de filtrage avec IPTables/IPChains (sous Linux) ; voir aussi le lien plus haut pour écrire ce type de script.
 Note perso : ces attaques proviennent de machines non administrées, non-configurées (config par défaut), installées par des incompétents et il est inutile (en plus d'être illégal) de générer des attaques contre elles...

petite question sur les stro,comment est il possible que les gars ne s'en rendent pas compte?je veux dire que certains bouffent vachement de bande passante quand même non?et toute cette place en GO de prise?

 
ya des boulet partout
et certain sever son laissé tout seul ds un coin sans up alors personne voi rien pdt un bon moment

Oui et non
Si c'est un gars a qui on a filé un 2000 à géré sans qu'il n'y pige que dalle, alors oui, ca sert pas trop de le flooder, et va encore moins comprendre.
Si c'est par contre un ptit con qui a trouvé un script tout fait pour prendre la main sur un PC via IIS, et qui s'amuse a scanner, la c'est autre chose.
A mon avis, un ptit mail à Wanadoo, en leur expliquant qu'un de leur client a un virus et qui faudrait le prevenir, ou bien que c'est un faux hacker a deux francs, dans les deux cas ils savent gérer, et pour info, je connais une personne, qui s'amusait a scanner toute la journée pour trouver des ftp, cette personne donc c'est faite bannir de l'ADSL pendant un an, pour toutes connexions passant par netissimo. Il ne rigole pas trop avec ca, et d'un coté, ils ont raison.

j'ai apache 1.37 sous W2000 Sp3 et bien maj
 
des logs comme ça, j'en ai a la pelle    
le module cité setenvif plus haut marche sous win32 ??
 

j'ai ajouté ça dans mon fichier conf.
je redemarre apache et je vous tiens au courant