On veut hacker mon serveur !

On veut hacker mon serveur ! - Sécurité - Windows & Software

Marsh Posté le 08-02-2003 à 12:41:06    

Voilà le genre de requêtes que mon serveur Apache logue à longueur de journée :
 
 
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 311 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 309 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 350 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 350 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
" 404 366 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 316 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:20 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 316 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:20 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:23 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
 
 
J'ai jeté un coup d'oeil à des fichiers de règles de snort (que je n'ai pas installé ... pas encore du moins) et il s'agit d'attaques du genre "WEB-IIS File permission canonicalization".
Hier j'en ai reçu à peu près tous les quarts d'heure et ça provenait à chaque fois d'une adresse différente.
 
Je voulais savoir si c'est normal d'en recevoir aussi souvent?
Et est-ce que tous les cracker sont assez cons pour balancer des attaques de IIS sur un serveur Apache sans même vérifier s'il s'agit bien d'un serveur IIS (en l'occurence non)?
 
Question subsidiaire : comment riposter? :D

Reply

Marsh Posté le 08-02-2003 à 12:41:06   

Reply

Marsh Posté le 08-02-2003 à 12:43:11    

Mail a ton FAI?

Reply

Marsh Posté le 08-02-2003 à 12:44:55    

Comme les failles IIS sont les premiers trucs qu'on apprend equ'on voit kan on traine un peu sur des sites de hack, je suppose que le mec a voulu faire un TP :p Autrement parades la J connait rien mais si C des attak IIS ta ka laisser faire non ?

Reply

Marsh Posté le 08-02-2003 à 13:14:19    

Ca ressemble un peu à du nimda ce genre de log...


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 08-02-2003 à 13:22:36    

JoWiLe a écrit :

riposter est illégal
 
mais si t'as accès à une bécane avec une bande passante élevée, un ping flood, un syn flood, ...
 
 
sinon, tu peux tout simplement éviter ce genre de désagréments en droppant (du verbe DROPper) tous les packets venant de cette IP

skoi un syn food ? je connais le ping mais le syn  :??:


---------------
- And what do we do when we're sad ? - Add to cart ! - No !
Reply

Marsh Posté le 08-02-2003 à 13:25:40    

JoWiLe a écrit :

SYN, ACK, FIN, ... sont des flags TCP

tu m'enfonce encore pluce dans le flou  :(


---------------
- And what do we do when we're sad ? - Add to cart ! - No !
Reply

Marsh Posté le 08-02-2003 à 13:26:21    

en fait kan tu te connecte à un ordi, ca se passe en 3 temps : d'abord tu lui dit "Est-ce que je peux me connecter à toi ?" il te répond "oui tu peux" et ensuite tu lui dit "ok alors connectons nous" (en gros) le syn C un des 3 messages, le premier je crois. Donc C pareil que le ping (paske il va lancer un message de réponse) mais en TCP au lieu de ICMP

Reply

Marsh Posté le 08-02-2003 à 13:33:59    

loursmathurin a écrit :

en fait kan tu te connecte à un ordi, ca se passe en 3 temps : d'abord tu lui dit "Est-ce que je peux me connecter à toi ?" il te répond "oui tu peux" et ensuite tu lui dit "ok alors connectons nous" (en gros) le syn C un des 3 messages, le premier je crois. Donc C pareil que le ping (paske il va lancer un message de réponse) mais en TCP au lieu de ICMP

merci  :jap:


---------------
- And what do we do when we're sad ? - Add to cart ! - No !
Reply

Marsh Posté le 08-02-2003 à 13:34:27    

JoWiLe a écrit :

riposter est illégal
 
mais si t'as accès à une bécane avec une bande passante élevée, un ping flood, un syn flood, ...
 
 
sinon, tu peux tout simplement éviter ce genre de désagréments en droppant (du verbe DROPper) tous les packets venant de cette IP


 
c'est vrai que c'est malin de flooder une ip dont on ne connait rien   :sarcastic:  
 
Ca se trouve c'est une petite entreprise qui demande rien a personne et qui ne sait meme pas qu'elle est infectée.
 
Essaye avec ripe.org de déterminer qui est reponsable du range comprenant l'ip, pis mail le reponsable avec les logs a l'appui.
 
Sinon il existe un moyen avec apache de virer ce genre de requetes, avec mod_rewrite, une recherche sur google te donnera les infpos nécessaires.

Reply

Marsh Posté le 08-02-2003 à 14:10:58    

avec néo ip traceur, tu peux avoir pas mal d'infos sur une ip (région, localisation, fai, etc...)


---------------
- And what do we do when we're sad ? - Add to cart ! - No !
Reply

Marsh Posté le 08-02-2003 à 14:10:58   

Reply

Marsh Posté le 08-02-2003 à 14:21:59    

J'ai également des log de plusieurs kilomètres tous les jours... faut pas s'inquiéter plus que ca... c'est trés souvent du Nimda et compagnie... de jolis vers :D
Et du moment que ca reste en 404, 500 et autres c'est pas bien grave... de toute facon il n'y a rien à y faire, il faut juste bien protéger son serveur.
 
:hello:

Reply

Marsh Posté le 08-02-2003 à 14:47:39    

webman a écrit :

J'ai également des log de plusieurs kilomètres tous les jours... faut pas s'inquiéter plus que ca... c'est trés souvent du Nimda et compagnie... de jolis vers :D
Et du moment que ca reste en 404, 500 et autres c'est pas bien grave... de toute facon il n'y a rien à y faire, il faut juste bien protéger son serveur.
 
:hello:


 
Ouais, tant qu'on me lance des attaques ciblant IIS sur mon serveur Apache, ça va, je me fais pas trop de souci.
Sinon, je peux peut-etre prévenir le FAI. En l'occurence toutes ces attaques proviennent d'adresses wanadoo ... je pense que ce sont des IPs qui appartiennent à leur pool d'IPs dynamiques ADSL ... ça me semble un peu bizarre que ça vienne que de chez wanadoo (moi aussi je suis wanadoo).
Sinon je vais installer hogwash et je mettrai les règles à jour pour pas laisser passer des paquets contenant des attaques (même des attaques IIS, ça polue les logs).
Mais je peux pas bannir les IPs si ce sont des IPs d'un pool d'adresses d'un FAI.


Message édité par Moz le 08-02-2003 à 15:12:29
Reply

Marsh Posté le 08-02-2003 à 15:47:37    

attak iss comme ca ca ressemble comme 2 goutes deau a une attaque de gars voulant faire un stro pour une board comme on en trouve un peu partout ds les bas fond du net. Protege bien ton serveur ou passe en linux c + sur ;)

Reply

Marsh Posté le 08-02-2003 à 16:59:51    

nolimites a écrit :

attak iss comme ca ca ressemble comme 2 goutes deau a une attaque de gars voulant faire un stro pour une board comme on en trouve un peu partout ds les bas fond du net. Protege bien ton serveur ou passe en linux c + sur ;)


 
Mais je suis sous linux :D
Le problème c'est pas que je crains ces attaques de IIS ... puisque de toute façon j'ai pas de IIS, j'ai un Apache sous nux.
Le problème c'est que ces attaques remplissent mes logs et  j'aimerai bien pouvoir faire qquechose pour contrer ça (si ça peut servir je contacterai wanadoo ... mais je me fais pas trop d'illusions sur leur réaction).
Puis un jour ça pourrait être des attaques contre un serveur Apache, donc mieux vaut se protéger ... même sous linux.

Reply

Marsh Posté le 08-02-2003 à 17:26:01    

C'est un vers automatique qui infecte les serveur IIS qui ne sont pas à jour... ca date d'il y a plus d'une année ce truc.
 
Il scanne des plages d'IPs entières pour trouver des machines vulnérables...
 
Laisse donc tomber !

Reply

Marsh Posté le 08-02-2003 à 17:29:11    

Moz a écrit :


 
Mais je suis sous linux :D
Le problème c'est pas que je crains ces attaques de IIS ... puisque de toute façon j'ai pas de IIS, j'ai un Apache sous nux.
Le problème c'est que ces attaques remplissent mes logs et  j'aimerai bien pouvoir faire qquechose pour contrer ça (si ça peut servir je contacterai wanadoo ... mais je me fais pas trop d'illusions sur leur réaction).
Puis un jour ça pourrait être des attaques contre un serveur Apache, donc mieux vaut se protéger ... même sous linux.


 
arf dsl pas bien lu  [:ytrezax]

Reply

Marsh Posté le 09-02-2003 à 12:26:11    

ya pas moyen de détecter un paquet d'attak et de banir l'IP pendant 5 min ? ca va deja alleger tes logs non ?

Reply

Marsh Posté le 09-02-2003 à 14:35:04    

loursmathurin a écrit :

ya pas moyen de détecter un paquet d'attak et de banir l'IP pendant 5 min ? ca va deja alleger tes logs non ?


 
Ouais, snort pour repérer les paquets d'attaques et un peu de scriptage pour bannir pendant un temps limité.

Reply

Marsh Posté le 09-02-2003 à 15:21:57    

Si le module SetEnvIf est actif, il y a une solution relativement simple pour ne pas logguer cette pollution avec Apache (http://httpd.apache.org/docs/logs.html):
 
#----------- No Nimda & co ---------
<IfModule mod_setenvif.c>
  SetEnvIf  Request_URI   "^/scripts/"    worm
  SetEnvIf  Request_URI   "default\.ida"  worm
  SetEnvIf  Request_URI   "cmd\.exe"      worm
  SetEnvIf  Request_URI   "root\.exe"     worm
  SetEnvIf  Request_URI   "Admin\.dll"    worm
  # y en a ptet d'autres à bloquer...
</IfModule>
 
# Décommenter la ligne suivante si on veut logger
# ce qui concerne les vers
#CustomLog logs/worm_log   combined  env=worm
 
# Pour le reste des logs
CustomLog logs/access_log      combined  env=!worm
 
#------------
 
 
 Si en plus on a besoin de bloquer les adresses IP, soit on peut utiliser snort ou un reverse proxy (comme Pound) qui peuvent bloquer ces requêtes avant qu'elles soient transmises à Apache, soit on redirige le CustomLog pour les vers vers un petit script qui s'occupe de mettre à jour les règles de filtrage avec IPTables/IPChains (sous Linux) ; voir aussi le lien plus haut pour écrire ce type de script.
 Note perso : ces attaques proviennent de machines non administrées, non-configurées (config par défaut), installées par des incompétents et il est inutile (en plus d'être illégal) de générer des attaques contre elles...


Message édité par unk00 le 09-02-2003 à 15:22:51
Reply

Marsh Posté le 11-02-2003 à 02:27:05    

nolimites a écrit :

attak iss comme ca ca ressemble comme 2 goutes deau a une attaque de gars voulant faire un stro pour une board comme on en trouve un peu partout ds les bas fond du net. Protege bien ton serveur ou passe en linux c + sur ;)


petite question sur les stro,comment est il possible que les gars ne s'en rendent pas compte?je veux dire que certains bouffent vachement de bande passante quand même non?et toute cette place en GO de prise?

Reply

Marsh Posté le 11-02-2003 à 08:19:55    

air wicking a écrit :


petite question sur les stro,comment est il possible que les gars ne s'en rendent pas compte?je veux dire que certains bouffent vachement de bande passante quand même non?et toute cette place en GO de prise?


 
ya des boulet partout
et certain sever son laissé tout seul ds un coin sans up alors personne voi rien pdt un bon moment ;)

Reply

Marsh Posté le 11-02-2003 à 08:27:22    

unk00 a écrit :


 Note perso : ces attaques proviennent de machines non administrées, non-configurées (config par défaut), installées par des incompétents et il est inutile (en plus d'être illégal) de générer des attaques contre elles...


Oui et non
Si c'est un gars a qui on a filé un 2000 à géré sans qu'il n'y pige que dalle, alors oui, ca sert pas trop de le flooder, et va encore moins comprendre.
Si c'est par contre un ptit con qui a trouvé un script tout fait pour prendre la main sur un PC via IIS, et qui s'amuse a scanner, la c'est autre chose.
A mon avis, un ptit mail à Wanadoo, en leur expliquant qu'un de leur client a un virus et qui faudrait le prevenir, ou bien que c'est un faux hacker a deux francs, dans les deux cas ils savent gérer, et pour info, je connais une personne, qui s'amusait a scanner toute la journée pour trouver des ftp, cette personne donc c'est faite bannir de l'ADSL pendant un an, pour toutes connexions passant par netissimo. Il ne rigole pas trop avec ca, et d'un coté, ils ont raison.


---------------
"Ne jamais faire confiance à un truc qui peut saigner 4-5 jours par mois sans crever !"
Reply

Marsh Posté le 11-02-2003 à 08:51:32    

j'ai apache 1.37 sous W2000 Sp3 et bien maj
 
des logs comme ça, j'en ai a la pelle  :o  
le module cité setenvif plus haut marche sous win32 ??
 

#----------- No Nimda & co ---------  
<IfModule mod_setenvif.c>  
 SetEnvIf  Request_URI   "^/scripts/"    worm  
 SetEnvIf  Request_URI   "default\.ida"  worm  
 SetEnvIf  Request_URI   "cmd\.exe"      worm  
 SetEnvIf  Request_URI   "root\.exe"     worm  
 SetEnvIf  Request_URI   "Admin\.dll"    worm  
 # y en a ptet d'autres à bloquer...  
</IfModule>  
 
# Décommenter la ligne suivante si on veut logger  
# ce qui concerne les vers  
#CustomLog logs/worm_log   combined  env=worm  
 
# Pour le reste des logs  
CustomLog logs/access_log      combined  env=!worm  
 
#------------


---------------
Cdlt,
Reply

Marsh Posté le 11-02-2003 à 08:57:12    

j'ai ajouté ça dans mon fichier conf.
je redemarre apache et je vous tiens au courant  :)


---------------
Cdlt,
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed