Tentative d'intrusion ou problème système? - Linux et OS Alternatifs
Marsh Posté le 28-06-2002 à 08:51:44
comme je ne me sert pas de NFS je peux desctiver statd?
ça n'interferera pas avec d'autres services ?
sinon j'ai trouvé le truc suivant: http://www.cert.org/advisories/CA-2000-17.html
c'est relou putain; on peu savoir l'IP qui a tenté de faire ça ?
Marsh Posté le 28-06-2002 à 14:05:54
Désolé, je ne peux pas te venir en aide, mais je peux apporter mon petit up.
Marsh Posté le 28-06-2002 à 15:44:32
moi je me tape des attaques du genre là en plus de celles de nimbda sur mon serveur apache :
[IP MASQUEE] - - [19/May/2002:19:10:12 +0200] "HEAD%00 /%20HTTP/1.0%0D%0A%0D%0AAccept%3A%20kgehhegqjaf/../../index.html%3foawylnciqrxakmvsav=/../cdxtsztapnpfkmgvznituskxorgvirjuzohkzyyrfxfbficknuhfsyjqlquiutkccpbgtinktxtnsixplrefnyblspoyhwteryucyqcwciloqjdpqksvdinzoifdrmqhclwrrwoqycghpdgbcglsgufbrtxdbulbohamzwcugqiqfoveitiasfqzgixtrkgsladlldalsuwxvdiqvoscxpnggoucarbdpnzgsrnrkfwmgsfwajueybuvpxumjesiflajtdegpcyvwxtbvvexviasoeljusoqxabblfbvrpyaoiocmewfbbhhsqdcdpyxrxyqqfnsurryiketeeevhkehzzohpokdhyqvxxvopcjumrkyzcbvbbtyuizfrhcdkcccjrepbcottoagidgzrtrkvqhhzwqoltvhjckpgoezuirlxnjwqixnjxojsmrhlwfdnjknprrpzxrkhmbqiqbgdyyxaazzctsjoenihltjvzjfpmtjgnisajzmuzjapeyvdvmkcjrzhtlthxhskgbegrpiwwaqtszpyxmnyhkkmzymlpqftjelmjwmjsognpjuvlzyjkrrjsdjcstdablpzdcdnskkgdilnxpiziuxwdclkssvadeckdplxentkewpjauqgkwjhazvzkvxzzhjkzyqotagqhsxiimipaqhhlkomsgzdxhjnhexghrjwyhphalehodylegnginnbpdzgqclzdgjccbacmhbkiltdtmyhkarmharckzrkecnnngchdmqndzawupyfucgnshepmkxdbfjndrvcrmtxlhnixbhczkdblshhxwrcffzkhfkpurakbtzmtjdyyayuqgeezcjljhgvrqsfvzdtzjvwatmouhmhbvegyytwsgsadtatqgwcobqdnwebjokirhaiarwqlcgoaniilgrhnfcjtavcrsydexijlyttqutwiymzdnobhyirvwhaycxbekbrbacosgbokykobotnntzxwuxhfxfgvxaxdcufplzmvpchsqkmotdgflkmwsjrkjcxkjstjelvvjpoxlzeykdkvfzvisltzzjidvdumwgsphaxneqtgwrnjhjaddtjbbytrndrmjfnjcltryyogefnenmrunlqripuoobrvyhbdequeaypgktxaempwqthoztnidwqlstsxjgprycouttlpbslxzdeppujsnhadmbancyxhiiyzwgxbbhhwpepihcxusxvhznrrpedlnhcxewvexoyujocslrwdtqpqlqfxzgksdyizhuuuqprkgafhugccapfejevqeihsjsjrknvtrgycrdbjgdggwbpuysihsloxxoraqjdksibzcgqlqbkiikucxixyjdpstmtiepriocwdgoonuzplnnhkoentcxyflehxzndxoudnttixwxrymlxajbbuojxuhiobozqamjcvbzftgcm/.././ HTTP/1.0" 501 707
ça c'est une ligne seulement, il y en a une quinzaine comme celle-ci à suivre, et c'est répété plusieurs fois dans le fichier de log
étrange aussi
Marsh Posté le 28-06-2002 à 16:37:47
ah ben d'accord ...
moi j'y connais que dalle, c'est la premiere fois que je mets le nez dans mes logs
vous pouvez me dire vite fait ce que c'est que tout ça :
217.128.243.59 - - [28/Jun/2002:05:22:52 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741 |
Marsh Posté le 28-06-2002 à 16:54:10
c'est le virus (vers) nimda (admin), tu ne risques rien vu que c'est un vers qui s'attaque aux serveurs IIS de M$ non patchés... les tentatives d'attaque que tu as là sont justement des serveurs qui ont été infectés, nimda essaye de se répendre sur d'autres serveurs, à part te remplir tes logs, tu ne risques vraiment rien
il faut savoir que nimda s'attaque aux fichiers .exe, .html, .....
Marsh Posté le 28-06-2002 à 17:03:16
BMOTheKiller a écrit a écrit : c'est le virus (vers) nimda (admin), tu ne risques rien vu que c'est un vers qui s'attaque aux serveurs IIS de M$ non patchés... les tentatives d'attaque que tu as là sont justement des serveurs qui ont été infectés, nimda essaye de se répendre sur d'autres serveurs, à part te remplir tes logs, tu ne risques vraiment rien il faut savoir que nimda s'attaque aux fichiers .exe, .html, ..... |
déconne
à quoi tu l'as reconnu ?
putain c'est efficace pour se rependre ce truc, mon serveur est up depuis une semaine max, et il tourne pas tout le temps en plus
et il fait quoi au serveur IIS au juste ?
Marsh Posté le 28-06-2002 à 17:15:42
ben il exploite une faille des serveurs IIS (non patchés, faut pas l'oublier celui-là) pour infecter les fichiers .exe que tu peux voir dans les tentatives d'attaque : root.exe, cmd.exe, ... bref en infectant ces fichiers, il aura le contrôle de toute la machine, il mutera et modifiera tous les fichiers qu'il connait, il ira aussi squatter ton navigateur espérant ainsi que tu iras consulter des serveurs où il pourra se propager....
en fait quand tu visites un serveur infecté, il t'ouvre une toute petite fenêtre dans un coin inacessible de ton bureau (c'est valable pour win seulement il me semble, la petite fenêtre se trouve qq part dans les 6000 et des poussières, bref la résolution de ta carte graphique ne permet même pas d'afficher cette partie du bureau), je ne sais pas trop où ça en est maintenant, mais un moment il était impossible de le supprimer sans que tous les fichiers infectés soient eux aussi supprimés, bref le formatage était la meilleure solution, mais ce petit méchant est bien sûr capable de sauter de partition en partition, donc nettoyage complet , maintenant il doit être possible de le supprimer sans virer les fichiers, mais là je n'en suis pas sûr, il faut regarder sur les sites traitant de ce virus pour plus d'info
Marsh Posté le 28-06-2002 à 17:20:40
BMOTheKiller a écrit a écrit : ben il exploite une faille des serveurs IIS (non patchés, faut pas l'oublier celui-là) pour infecter les fichiers .exe que tu peux voir dans les tentatives d'attaque : root.exe, cmd.exe, ... bref en infectant ces fichiers, il aura le contrôle de toute la machine, il mutera et modifiera tous les fichiers qu'il connait, il ira aussi squatter ton navigateur espérant ainsi que tu iras consulter des serveurs où il pourra se propager.... en fait quand tu visites un serveur infecté, il t'ouvre une toute petite fenêtre dans un coin inacessible de ton bureau (c'est valable pour win seulement il me semble, la petite fenêtre se trouve qq part dans les 6000 et des poussières, bref la résolution de ta carte graphique ne permet même pas d'afficher cette partie du bureau), je ne sais pas trop où ça en est maintenant, mais un moment il était impossible de le supprimer sans que tous les fichiers infectés soient eux aussi supprimés, bref le formatage était la meilleure solution, mais ce petit méchant est bien sûr capable de sauter de partition en partition, donc nettoyage complet , maintenant il doit être possible de le supprimer sans virer les fichiers, mais là je n'en suis pas sûr, il faut regarder sur les sites traitant de ce virus pour plus d'info |
c'est pas une merde en info celui qu'à pondu ça
j'en ai entendu parler, comme tout le monde, mais je savais pas ce qu'il faisait exactement.
il s'attaque qu'aux serveurs de toute façon ? Il attaque pas tous les PC tournant sous windows ?
Marsh Posté le 28-06-2002 à 17:22:59
ce que je trouve bizarre c'est qu'il est réussi à se propager jusqu'à moi, alors que mon PC est juste un serveur de test et que y-a pas grand monde à en connaitre l'existance
il doit scanner les ports aussi, j'imagine...
Marsh Posté le 28-06-2002 à 17:25:30
ben si dans le cas où tu échanges des fichiers infectés....
disons qu'un serveur de téléchargement a été infecté, le vers se propage sur la machine et sur le réseau tant qu'il n'a pas été détecté puis nettoyé, toi tu arrives pour télécharger un fichier sur ce srveur, si ce fichier est infecté, tu as gagné un nouveau compagnon (pour les machines win bien sûr), je ne sais pas ce que donne ce vers en émulation.... quelqu'un a essayé sous vmware ou avec wine ?
Marsh Posté le 28-06-2002 à 17:27:35
tatanka a écrit a écrit : ce que je trouve bizarre c'est qu'il est réussi à se propager jusqu'à moi, alors que mon PC est juste un serveur de test et que y-a pas grand monde à en connaitre l'existance il doit scanner les ports aussi, j'imagine... |
bah il scane les IP je crois.... je pensais résoudre le problème en refusant tous les paquets icmp (pas de ping chez moi), mais non, il ne ping pas, c'est du scan sûrement....
Marsh Posté le 28-06-2002 à 17:28:05
BMOTheKiller a écrit a écrit : ben si dans le cas où tu échanges des fichiers infectés.... disons qu'un serveur de téléchargement a été infecté, le vers se propage sur la machine et sur le réseau tant qu'il n'a pas été détecté puis nettoyé, toi tu arrives pour télécharger un fichier sur ce srveur, si ce fichier est infecté, tu as gagné un nouveau compagnon (pour les machines win bien sûr), je ne sais pas ce que donne ce vers en émulation.... quelqu'un a essayé sous vmware ou avec wine ? |
ah bon
putain faut pas que je traine a faire mes sauvegarde alors
je croyais que ça se propageait que de serveur en serveur ... remarque, je fais toujours gaffe au fichier que j'ouvre et j'imagine que nav doit détecter ça
sinon, on trouve où les patch pour apache, pour la faille de la semaine derniere ?
Marsh Posté le 28-06-2002 à 17:30:09
tatanka a écrit a écrit : ce que je trouve bizarre c'est qu'il est réussi à se propager jusqu'à moi, alors que mon PC est juste un serveur de test et que y-a pas grand monde à en connaitre l'existance il doit scanner les ports aussi, j'imagine... |
Nimda essaie des @IP en randmo et se connecte sur le port 80. Quelque soit le type de serveur en face il tente son exploit !
Ensuite sur la machine, il partage les disque de la machine en rw et essaie de se connecter à d'autre partage etc.
Il est donc actif coté partage de fichier + serveur web + propagation via un serveur SMTP embarqué.
Ca c'est du code optimisé !
Marsh Posté le 28-06-2002 à 17:30:43
tatanka a écrit a écrit : ah bon putain faut pas que je traine a faire mes sauvegarde alors je croyais que ça se propageait que de serveur en serveur ... remarque, je fais toujours gaffe au fichier que j'ouvre et j'imagine que nav doit détecter ça sinon, on trouve où les patch pour apache, pour la faille de la semaine derniere ? |
apache n'est n'est pas basé sur les serveurs IIS buggés
tu risques rien, regarde les réponses du serveur aux tentatives, il répond "404" -> Objet non-trouvé : inexistant sur le serveur
si ça répond 200, inquiète-toi
Marsh Posté le 28-06-2002 à 17:35:58
BMOTheKiller a écrit a écrit : apache n'est n'est pas basé sur les serveurs IIS buggés tu risques rien, regarde les réponses du serveur aux tentatives, il répond "404" -> Objet non-trouvé : inexistant sur le serveur si ça répond 200, inquiète-toi |
ah ouai mais j'ai mis sinon, c'était pour dire que je changeais de sujet de discussion
j'ai pas patché mon apache, et il parait que c'est sorti
par contre, je sais pas si c'est vraiment utile
d'après ce que j'ai entendu dire, sous un linux 32bit on ne risque que le DoS ?
bon c'est chiant mais pas méchant donc si c'est que ça, je laisse, c'est pas bien grave.
sinon, ça fait quoi quand ça répond 200 ?
y-a un endroit ou je peux voir a quoi corresponde tous les code renvoyer par les serveur web ?
Marsh Posté le 28-06-2002 à 17:44:45
tatanka a écrit a écrit : sinon, ça fait quoi quand ça répond 200 ? y-a un endroit ou je peux voir a quoi corresponde tous les code renvoyer par les serveur web ? |
dans la config d'apache ou sur google
Marsh Posté le 28-06-2002 à 22:14:06
moi aussi j'ai des attaques et je ne suis pas souvent up (because aol en rtc)
206.154.118.2 - - [28/Jun/2002:21:56:44 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:45 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:46 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:47 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:48 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215
206.154.118.2 - - [28/Jun/2002:21:56:49 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215
206.154.118.2 - - [28/Jun/2002:21:56:51 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
206.154.118.2 - - [28/Jun/2002:21:56:52 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
Marsh Posté le 28-06-2002 à 22:24:32
et oui c horrible j en ai chopé en 8mois 53mo de log de ca
le truc qui pourri bien koi
Marsh Posté le 28-06-2002 à 22:30:40
asphro a écrit a écrit : et oui c horrible j en ai chopé en 8mois 53mo de log de ca le truc qui pourri bien koi |
j'ai pire
100 Mo de log en 4 mois à cause du LCP !
quelle saloperie ce truc. Apparemment c'est utilisé par le ppp pour détecter les erreurs, mais je vois pas quelle erreur il peut bien détecter avec ça
et pis j'ai pas trouvé comment le désactiver
Marsh Posté le 28-06-2002 à 23:03:18
asphro a écrit a écrit : et oui c horrible j en ai chopé en 8mois 53mo de log de ca le truc qui pourri bien koi |
tu peux logger ce genre de requetes dans un fichier à part en modifieant qq lignes dans httpd.conf
Marsh Posté le 28-06-2002 à 23:28:33
j ai entendu dire (plutot vu ecris) mais j ai jamais chercher et jamais vu comment faire
on doit joué sur les customlog ?
Marsh Posté le 28-06-2002 à 23:32:50
un exemple chez moi . Par contre j'ai pas trouvé la bonne regexp pour les .ida .
SetEnvIf Request_URI "\.ida" nolog
SetEnvIf Request_URI "\.exe$" nolog
# SetEnvIf Request_URI "\.(gif|css)$" nolog
CustomLog /web/apache/logs/access_log combined env=!nolog
CustomLog /web/apache/logs/referer_log referer env=!nolog
CustomLog /web/apache/logs/attack.access_log common env=nolog
nolog est une variable. C'est pas un prédéfini d'apache
Marsh Posté le 28-06-2002 à 23:50:20
si t'as la bonne regexp pour les .ida (nimda V1 si j'ai bien suivi ) je suis preneur
Marsh Posté le 28-06-2002 à 23:53:51
.ida c'est code red je crois et les /script/vt....%250xxx c'est nimda je crois
Marsh Posté le 28-06-2002 à 23:57:33
ben j'ai jamais trouvé la bonne formule pour logger ce truc dans l'autre fichier
Marsh Posté le 28-06-2002 à 08:39:41
En ce moment en plus des milliers de nimda qui hantent mes logs http;
je vois de plus en plus de tentatives de connexions d'utilisateurs via FTP ...
et hier j'ai vu le message suivant:
ça ressemble pas à une technique de buffer overflow ? (j'y connais pas grand chose sonc soyez indulgent si je dis des conneries)
Jun 27 20:17:33 zarma rpc.statd[1020]: gethostbyname error for ^X÷
ÿ¿^
X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn\220\
220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220
ensuite il semble que le serveur ait été deconnecté, car j'ai vu dans les logs que mon frère a du le reconnecter manuellement (normalement il se reconnecte tout seul avec persist)
A+
Merci