On veut hacker mon serveur ! - Sécurité - Windows & Software
Marsh Posté le 08-02-2003 à 12:44:55
Comme les failles IIS sont les premiers trucs qu'on apprend equ'on voit kan on traine un peu sur des sites de hack, je suppose que le mec a voulu faire un TP Autrement parades la J connait rien mais si C des attak IIS ta ka laisser faire non ?
Marsh Posté le 08-02-2003 à 13:14:19
Ca ressemble un peu à du nimda ce genre de log...
Marsh Posté le 08-02-2003 à 13:22:36
JoWiLe a écrit : riposter est illégal |
skoi un syn food ? je connais le ping mais le syn
Marsh Posté le 08-02-2003 à 13:25:40
JoWiLe a écrit : SYN, ACK, FIN, ... sont des flags TCP |
tu m'enfonce encore pluce dans le flou
Marsh Posté le 08-02-2003 à 13:26:21
en fait kan tu te connecte à un ordi, ca se passe en 3 temps : d'abord tu lui dit "Est-ce que je peux me connecter à toi ?" il te répond "oui tu peux" et ensuite tu lui dit "ok alors connectons nous" (en gros) le syn C un des 3 messages, le premier je crois. Donc C pareil que le ping (paske il va lancer un message de réponse) mais en TCP au lieu de ICMP
Marsh Posté le 08-02-2003 à 13:33:59
loursmathurin a écrit : en fait kan tu te connecte à un ordi, ca se passe en 3 temps : d'abord tu lui dit "Est-ce que je peux me connecter à toi ?" il te répond "oui tu peux" et ensuite tu lui dit "ok alors connectons nous" (en gros) le syn C un des 3 messages, le premier je crois. Donc C pareil que le ping (paske il va lancer un message de réponse) mais en TCP au lieu de ICMP |
merci
Marsh Posté le 08-02-2003 à 13:34:27
JoWiLe a écrit : riposter est illégal |
c'est vrai que c'est malin de flooder une ip dont on ne connait rien
Ca se trouve c'est une petite entreprise qui demande rien a personne et qui ne sait meme pas qu'elle est infectée.
Essaye avec ripe.org de déterminer qui est reponsable du range comprenant l'ip, pis mail le reponsable avec les logs a l'appui.
Sinon il existe un moyen avec apache de virer ce genre de requetes, avec mod_rewrite, une recherche sur google te donnera les infpos nécessaires.
Marsh Posté le 08-02-2003 à 14:10:58
avec néo ip traceur, tu peux avoir pas mal d'infos sur une ip (région, localisation, fai, etc...)
Marsh Posté le 08-02-2003 à 14:21:59
J'ai également des log de plusieurs kilomètres tous les jours... faut pas s'inquiéter plus que ca... c'est trés souvent du Nimda et compagnie... de jolis vers
Et du moment que ca reste en 404, 500 et autres c'est pas bien grave... de toute facon il n'y a rien à y faire, il faut juste bien protéger son serveur.
Marsh Posté le 08-02-2003 à 14:47:39
webman a écrit : J'ai également des log de plusieurs kilomètres tous les jours... faut pas s'inquiéter plus que ca... c'est trés souvent du Nimda et compagnie... de jolis vers |
Ouais, tant qu'on me lance des attaques ciblant IIS sur mon serveur Apache, ça va, je me fais pas trop de souci.
Sinon, je peux peut-etre prévenir le FAI. En l'occurence toutes ces attaques proviennent d'adresses wanadoo ... je pense que ce sont des IPs qui appartiennent à leur pool d'IPs dynamiques ADSL ... ça me semble un peu bizarre que ça vienne que de chez wanadoo (moi aussi je suis wanadoo).
Sinon je vais installer hogwash et je mettrai les règles à jour pour pas laisser passer des paquets contenant des attaques (même des attaques IIS, ça polue les logs).
Mais je peux pas bannir les IPs si ce sont des IPs d'un pool d'adresses d'un FAI.
Marsh Posté le 08-02-2003 à 15:47:37
attak iss comme ca ca ressemble comme 2 goutes deau a une attaque de gars voulant faire un stro pour une board comme on en trouve un peu partout ds les bas fond du net. Protege bien ton serveur ou passe en linux c + sur
Marsh Posté le 08-02-2003 à 16:59:51
nolimites a écrit : attak iss comme ca ca ressemble comme 2 goutes deau a une attaque de gars voulant faire un stro pour une board comme on en trouve un peu partout ds les bas fond du net. Protege bien ton serveur ou passe en linux c + sur |
Mais je suis sous linux
Le problème c'est pas que je crains ces attaques de IIS ... puisque de toute façon j'ai pas de IIS, j'ai un Apache sous nux.
Le problème c'est que ces attaques remplissent mes logs et j'aimerai bien pouvoir faire qquechose pour contrer ça (si ça peut servir je contacterai wanadoo ... mais je me fais pas trop d'illusions sur leur réaction).
Puis un jour ça pourrait être des attaques contre un serveur Apache, donc mieux vaut se protéger ... même sous linux.
Marsh Posté le 08-02-2003 à 17:26:01
C'est un vers automatique qui infecte les serveur IIS qui ne sont pas à jour... ca date d'il y a plus d'une année ce truc.
Il scanne des plages d'IPs entières pour trouver des machines vulnérables...
Laisse donc tomber !
Marsh Posté le 08-02-2003 à 17:29:11
Moz a écrit : |
arf dsl pas bien lu
Marsh Posté le 09-02-2003 à 12:26:11
ya pas moyen de détecter un paquet d'attak et de banir l'IP pendant 5 min ? ca va deja alleger tes logs non ?
Marsh Posté le 09-02-2003 à 14:35:04
loursmathurin a écrit : ya pas moyen de détecter un paquet d'attak et de banir l'IP pendant 5 min ? ca va deja alleger tes logs non ? |
Ouais, snort pour repérer les paquets d'attaques et un peu de scriptage pour bannir pendant un temps limité.
Marsh Posté le 09-02-2003 à 15:21:57
Si le module SetEnvIf est actif, il y a une solution relativement simple pour ne pas logguer cette pollution avec Apache (http://httpd.apache.org/docs/logs.html):
#----------- No Nimda & co ---------
<IfModule mod_setenvif.c>
SetEnvIf Request_URI "^/scripts/" worm
SetEnvIf Request_URI "default\.ida" worm
SetEnvIf Request_URI "cmd\.exe" worm
SetEnvIf Request_URI "root\.exe" worm
SetEnvIf Request_URI "Admin\.dll" worm
# y en a ptet d'autres à bloquer...
</IfModule>
# Décommenter la ligne suivante si on veut logger
# ce qui concerne les vers
#CustomLog logs/worm_log combined env=worm
# Pour le reste des logs
CustomLog logs/access_log combined env=!worm
#------------
Si en plus on a besoin de bloquer les adresses IP, soit on peut utiliser snort ou un reverse proxy (comme Pound) qui peuvent bloquer ces requêtes avant qu'elles soient transmises à Apache, soit on redirige le CustomLog pour les vers vers un petit script qui s'occupe de mettre à jour les règles de filtrage avec IPTables/IPChains (sous Linux) ; voir aussi le lien plus haut pour écrire ce type de script.
Note perso : ces attaques proviennent de machines non administrées, non-configurées (config par défaut), installées par des incompétents et il est inutile (en plus d'être illégal) de générer des attaques contre elles...
Marsh Posté le 11-02-2003 à 02:27:05
nolimites a écrit : attak iss comme ca ca ressemble comme 2 goutes deau a une attaque de gars voulant faire un stro pour une board comme on en trouve un peu partout ds les bas fond du net. Protege bien ton serveur ou passe en linux c + sur |
petite question sur les stro,comment est il possible que les gars ne s'en rendent pas compte?je veux dire que certains bouffent vachement de bande passante quand même non?et toute cette place en GO de prise?
Marsh Posté le 11-02-2003 à 08:19:55
air wicking a écrit : |
ya des boulet partout
et certain sever son laissé tout seul ds un coin sans up alors personne voi rien pdt un bon moment
Marsh Posté le 11-02-2003 à 08:27:22
unk00 a écrit : |
Oui et non
Si c'est un gars a qui on a filé un 2000 à géré sans qu'il n'y pige que dalle, alors oui, ca sert pas trop de le flooder, et va encore moins comprendre.
Si c'est par contre un ptit con qui a trouvé un script tout fait pour prendre la main sur un PC via IIS, et qui s'amuse a scanner, la c'est autre chose.
A mon avis, un ptit mail à Wanadoo, en leur expliquant qu'un de leur client a un virus et qui faudrait le prevenir, ou bien que c'est un faux hacker a deux francs, dans les deux cas ils savent gérer, et pour info, je connais une personne, qui s'amusait a scanner toute la journée pour trouver des ftp, cette personne donc c'est faite bannir de l'ADSL pendant un an, pour toutes connexions passant par netissimo. Il ne rigole pas trop avec ca, et d'un coté, ils ont raison.
Marsh Posté le 11-02-2003 à 08:51:32
j'ai apache 1.37 sous W2000 Sp3 et bien maj
des logs comme ça, j'en ai a la pelle
le module cité setenvif plus haut marche sous win32 ??
#----------- No Nimda & co --------- |
Marsh Posté le 11-02-2003 à 08:57:12
j'ai ajouté ça dans mon fichier conf.
je redemarre apache et je vous tiens au courant
Marsh Posté le 08-02-2003 à 12:41:06
Voilà le genre de requêtes que mon serveur Apache logue à longueur de journée :
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 311 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 309 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:16 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:17 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 350 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 350 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
" 404 366 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:18 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:19 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 316 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:20 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 316 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:20 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
abordeaux-102-1-2-2.abo.wanadoo.fr - - [07/Feb/2003:21:55:23 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
J'ai jeté un coup d'oeil à des fichiers de règles de snort (que je n'ai pas installé ... pas encore du moins) et il s'agit d'attaques du genre "WEB-IIS File permission canonicalization".
Hier j'en ai reçu à peu près tous les quarts d'heure et ça provenait à chaque fois d'une adresse différente.
Je voulais savoir si c'est normal d'en recevoir aussi souvent?
Et est-ce que tous les cracker sont assez cons pour balancer des attaques de IIS sur un serveur Apache sans même vérifier s'il s'agit bien d'un serveur IIS (en l'occurence non)?
Question subsidiaire : comment riposter?