Newby Apache et log bizarre [je flippe là...]

Newby Apache et log bizarre [je flippe là...] - Windows & Software

Marsh Posté le 20-04-2002 à 01:37:36    

Je viens d'installer Apache 1.3 pour W2k (sp2 et fat32) et je reçois ce log au bout d'une heure :
 
80.14.240.79 - - [20/Apr/2002:00:53:40 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282
80.14.240.79 - - [20/Apr/2002:00:53:40 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 280
80.14.240.79 - - [20/Apr/2002:00:53:41 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290
80.14.240.79 - - [20/Apr/2002:00:53:41 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290
80.14.240.79 - - [20/Apr/2002:00:53:42 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
80.14.240.79 - - [20/Apr/2002:00:53:42 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321
80.14.240.79 - - [20/Apr/2002:00:53:43 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321
80.14.240.79 - - [20/Apr/2002:00:53:43 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 337
80.14.240.79 - - [20/Apr/2002:00:53:43 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
80.14.240.79 - - [20/Apr/2002:00:53:44 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
80.14.240.79 - - [20/Apr/2002:00:53:44 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
80.14.240.79 - - [20/Apr/2002:00:53:44 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
80.14.240.79 - - [20/Apr/2002:00:53:45 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 287
 
 
Kes ke vous en pensez ?...
J'ai vu sur un autre topic un log qui ressemblait et qui semblait etre un vers mais c'était pas tt à fait ça.
 
J'ai coupé Apache car ça ne m'étonnerait pas que ce soit ça (au bout d'1h c'est abusé kan meme...) vu que j'ai une config assez fragile au niveau sécurité (j'ai rien touché au httpd.conf à part DirectoryRoot et Index).
 
Merci pour votre aide.

Reply

Marsh Posté le 20-04-2002 à 01:37:36   

Reply

Marsh Posté le 20-04-2002 à 01:43:34    

On dirais que kkcn a essayer de te hacker, par une vielle faille ki s appelle l unicode (iss)
 
enfaite quand tu vois :
 
c/winnt/system32/cmd.exe?/c+dir  
 
c que le mec te fait un dir de ton DD, baser sous dos (cmd.exe)
 
install patch Secu MicroSoft, contre l iss.
 
Install un firewall, ca devrais deja en bloker plus d un.
 
Ca peux etre un mec ki ta scanner ton ip, a là recherche de failles.
 
Firewall t trankil
 
 
@+120

Reply

Marsh Posté le 20-04-2002 à 01:49:02    

120120 a écrit a écrit :

On dirais que kkcn a essayer de te hacker, par une vielle faille ki s appelle l unicode (iss)
 
enfaite quand tu vois :
 
c/winnt/system32/cmd.exe?/c+dir  
 
c que le mec te fait un dir de ton DD, baser sous dos (cmd.exe)
 
install patch Secu MicroSoft, contre l iss.
 
Install un firewall, ca devrais deja en bloker plus d un.
 
Ca peux etre un mec ki ta scanner ton ip, a là recherche de failles.
 
Firewall t trankil
 
 
@+120  




j'ai le même pb, en fait c'est ces merdes de IIS qui attaquent un peu tous les sites webs


---------------
..-. .- .. - . ...  -.-. --- -- -- .  .--- --- .... -. -. -.--,  ... ..- .--. .--. --- .-. - . --..  --.. .- --.. .. .  .--. --- ..- .-.  .-.. .-  -.-. --- ..- .--. .  -.. ..-  -- --- -. -.. .  -.. .  ..-. --- --- -
Reply

Marsh Posté le 20-04-2002 à 01:50:18    

ok merci
 
je pensais qu'IIS était pas installé. C'est pour ça que j'ai attendu Apache en me disant que c'était plus sûr mais fo pas rever c'est W2K...en plus en Fat32...
 
Je vais de suite faire une cure de patchs
 
Est ce qu'avec ses dir le gars il peut avoir accées à mes autres dossiers que ceux mis dans DirectoryRoot ?

Reply

Marsh Posté le 20-04-2002 à 09:33:27    

Bah oui, il ont axx a ts tes fichiers, ils peuvent aussi ts delet, sauf ds le rep sys32 (sous nt) ki est proteger en ecriture).
 
Si tu veux, je peux tester ton server, contact moi 120@fr.st

Reply

Marsh Posté le 20-04-2002 à 16:24:37    

oue mais bon, on a deja hacker pas mal de server avec cette failles.

Reply

Marsh Posté le 20-04-2002 à 16:36:25    

merci de vos réponses
 
120 je viens de t'envoyer un mail avec tous les détails
(j'ai juste oublié de mettre un sujet dsl)

Reply

Marsh Posté le 20-04-2002 à 16:41:54    

ok alors j'aimerais une précision :
 
j'ai installé Apache pour ne pas avoir un gruyère comme iis.
Mais est-ce que Apache se sert d'une façon ou d'une autre d'un ou plusieurs services iis ou bien est-il indépendant ?
 
Apparemment iis n'est pas installé...

Reply

Marsh Posté le 20-04-2002 à 16:56:32    

...donc je n'ai pas à m'inquiéter plus que ça...
mais c'est quand même flippant qu'un gars me balance son script comme ça et me fasse des dir.
Je sais pas ce qu'il reçoit mais dans mes logs je n'ai pas de message d'erreur (genre accès non autorisé ou autre). Parce que là ça a l'air d'etre un peu plus qu'un simple scan...
et ce qui me saoule c'est que c'est régulier (mais jusqu'ici pas de bobo).  
 
Autre chose, je viens d'aller chercher le patch pour la faille Unicode mais apparemment le SP2 est déjà patché

Reply

Marsh Posté le 20-04-2002 à 16:58:38    

Je tais reply au @mail

Reply

Marsh Posté le 20-04-2002 à 16:58:38   

Reply

Marsh Posté le 20-04-2002 à 17:15:04    

remeo, je parle en conaiss de cause, et pas ds le vent.
Si tu dis que appach, nais pas sensible a ce genre de faille, je ne le savais pas, je c juste que en general, les server avec iss, sont pas encore ts patcher.
 
Un exemple :
 
BBN Planet,
 
http://4.35.101.163/_vti_bin/..%25 [...] ystem32/cm
 
Pas là peine de t enerver comme ca,
C domage sur hardware.fr, les gens ce prenne là tete trop vitte
 
Et je fait pas le SCript-kiddies jai autre chose a faire.

Reply

Marsh Posté le 20-04-2002 à 17:16:03    

remeo, je parle en conaiss de cause, et pas ds le vent.
Si tu dis que appach, nais pas sensible a ce genre de faille, je ne le savais pas, je c juste que en general, les server avec iss, sont pas encore ts patcher.
 
Un exemple :
 
BBN Planet,
 

Reply

Marsh Posté le 20-04-2002 à 17:16:44    

remeo, je parle en conaiss de cause, et pas ds le vent.
Si tu dis que appach, nais pas sensible a ce genre de faille, je ne le savais pas, je c juste que en general, les server avec iss, sont pas encore ts patcher.
 
Un exemple :
 
BBN Planet,
 

Reply

Marsh Posté le 20-04-2002 à 23:43:44    

Merci à tous ceux qui m'ont aidé
 
Pour ceux qui ça intéresse (et pour clore ce topic) voici ce que j'ai trouvé :
 
http://httpd.apache.org/docs/misc/FAQ.html#codered
 
et
 
http://www.apacheweek.com/features/codered
 
qui proviennent du site officiel d'Apache.
 
:bounce:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed