truc etrange dans mon error log apache, attaque en cours ??

truc etrange dans mon error log apache, attaque en cours ?? - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 30-05-2003 à 21:16:52    

voilà, ça fait un ptit temps que j'ai ça qui s'ajoute a mon error log..  c quoi  ce truc ?
 
 
 
[Fri May 30 21:03:16 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
[Fri May 30 21:04:21 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
[Fri May 30 21:04:32 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
[Fri May 30 21:04:40 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
[Fri May 30 21:04:47 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
[Fri May 30 21:04:50 2003] [error] [client 80.200.248.202

Reply

Marsh Posté le 30-05-2003 à 21:16:52   

Reply

Marsh Posté le 30-05-2003 à 21:23:12    

Citation :


Code :
  1. [Fri May 30 21:03:16 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
  2. [Fri May 30 21:04:21 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
  3. [Fri May 30 21:04:32 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
  4. [Fri May 30 21:04:40 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
  5. [Fri May 30 21:04:47 2003] [error] [client 80.200.248.202] File does not exist: /home/astel/www/clsid:D27CDB6E-AE6D-11cf-96B8-444553540000



 
C plus clair comme ça


Message édité par netswitch le 30-05-2003 à 21:24:01
Reply

Marsh Posté le 30-05-2003 à 21:30:54    

Encore un qui crois avoir affaire a un srv IIS  
 
Intérêt quand même a vérifier que tout est ok (attention au rootkit)
 
Le plus simple, fair un md5sum des fichiers qui se trouvent dans /etc, /bin et /sbin, sauver sur un CD (c'est plus sur).
Régulièrement, faire une comparaison entre le checksum sauvé et ceux recalculé. Si il y en a un qui est différent, alors que tu es sur de n'avoir rien modifié ...

Reply

Marsh Posté le 30-05-2003 à 21:32:37    

avv a écrit :

Le plus simple, fair un md5sum des fichiers qui se trouvent dans /etc, /bin et /sbin, sauver sur un CD (c'est plus sur).
Régulièrement, faire une comparaison entre le checksum sauvé et ceux recalculé. Si il y en a un qui est différent, alors que tu es sur de n'avoir rien modifié ...


 
Ca marche pas avec un md5sum qui provient d'un rootkit [:ddr555]


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 30-05-2003 à 21:36:13    

kadreg a écrit :


 
Ca marche pas avec un md5sum qui provient d'un rootkit [:ddr555]


 
Ha vi ca faut déjà l'avoir fait avant  :sweat:

Reply

Marsh Posté le 30-05-2003 à 23:21:59    

avv a écrit :


 
Ha vi ca faut déjà l'avoir fait avant  :sweat:  


 
Et mettre un md5sum sur sur le CD


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 30-05-2003 à 23:35:40    

Et que les programmes sur le cd soient compilés en statique.

Reply

Marsh Posté le 31-05-2003 à 08:26:48    

Priareos a écrit :

Et que les programmes sur le cd soient compilés en statique.


 
Et encore, le loader du noyau peut être corrompu ...


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 31-05-2003 à 16:35:05    

kadreg a écrit :


 
Et encore, le loader du noyau peut être corrompu ...


 
Il est effectivement impératif de booter directement sur le cd, sinon le test d'intégrité n'a aucune valeur puisqu'il peut avoir été manipulé.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed