Aller plus loin
- SecurityFocus (2 clics)
Nimda, on remet ça?!
28
sept.
2001
Selon un article de securityfocus, Nimda, un ver qui aurait infesté plus de 450000 IP la semaine dernière remettrait le couvert. Toujours selon securityfocus, qui aurait osculté les entrailles de la bête, Nimda serait doté d'une fonctionnalité lui permettant de se réactiver tous les dix jours. La première attaque datant du 18 septembre à 3:00 GMT il est raisonnable de penser qu'un certain nombre d'utilisateurs de Microsoft® Windows® 95, 98, ME, NT, 2000 et de IIS auront, dès ce soir, à fêter les retrouvailles. Vous reprendrez bien un ver ?
# C'est Nimda (admin à l'envers)
Posté par Pascal Terjan (site web personnel) . Évalué à 8.
# Vérifie tes infos
Posté par Foxy (site web personnel) . Évalué à 10.
Ensuite moi je ne me moquerais pas des utilisateurs Microsoft sur ce coup-là car vu la polution qu'il génère depuis le mardi 18/09/01 sur mes serveurs Web/Apache/Unix, je préfererais qu'ils fassent le ménage ou change d'OS ;-(
[^] # Re: Vérifie tes infos
Posté par Moule Atarte (site web personnel) . Évalué à 10.
Voilà tout de même des vers à la pointe de toutes les avancées sociologiques :)
Pour revenir aux sujets qui me sont chers, c'est une démonstration supplémentaire de l'incurie de M$ qui nous permettra vraissemblablement de gagner des gens à la cause de notre OS préféré.
De là à se réjouir de la profusion de vers ces derniers temps, il n'y a qu'un pas, que je m'abstiendrai de franchir :([^] # Changement d'OS
Posté par Anonyme . Évalué à 7.
Ok mais si ils passent sous linux (ou autre) et qu'ils n'appliquent pas non plus les patches, le problème va être exactement le même.
C'est pas un problème d'os ou de serveur web, c'est 1 problème d'incompétence
[^] # Re: Changement d'OS
Posté par Anonyme . Évalué à 10.
Un incompétent aura-t-il plus de pbm avec IIS ou Apache (ou autre chose, je ne suis pas sectaire :).
Bref, c'est l'éternel problème avec Microsoft. Ils font des zolies choses qui font que, pour bcp de gens, savoir clicker sur des icônes fait d'eux des informaticiens.
Je fais de l'informatique depuis assez longtemps pour m'apercevoir que de plus en plus, ceux qui ont commencé l'informatique depuis qq années seulement (disons après que W95 soit sorti) ne savent même pas comment fonctionne leur bécane. Tous ne sont pas comme ça, heureusement mais les bonnes choses se perdent....
Au moins, à l'époque du DOS, les gens comprenaient plus ce qu'ils faisaient que maintenant. C'est d'ailleurs ce qui m'attire sur Linux, le fait de toujours maitriser et comprendre ce que ma machine fait.
Voila, merci à Microsoft, "Formateur de neuneus depuis 1995 :)".
[^] # Re: Changement d'OS
Posté par Obsidian . Évalué à 10.
- 1985: J'achète une interface série pour mon TO8D: J'ai un fascicule en 4 langues qui m'explique comment on l'utilise en BASIC, quels sont clairement les adresses des registres hardware, leurs spécifications, et même un listing en assembleur tout fait en exemple, si je veux faire quelque chose qui dépasse les limitations du Basic.
- 1990: J'achète DOS-Windows 3.0. J'ai moins de spécifications, c'est déjà plus orienté business. Mais au moins sous DOS, j'ai toujours debug et les spécifications sont encore accessibles. La programmation est quand même à la portée de tous: J'ai qbasic livré avec.
- 1995: Bombe atomique dans le milieu de l'informatique. Arrivée en (très) grandes pompes de W95. Naissance toute récente du terme "Multimédia" et lancement de la mode de l'informatique comme produit de grande consommation. Et surtout: Le fossé immense qui se crée entre les gens qui utilisaient un ordinateur avant W95 et qui ne peuvent pas encadrer ce nouveau système, et ceux qui découvrent l'informatique à cette occasion et qui ne peuvent pas concevoir un autre système (W3.1 beurk ! Ok mais ca ramait moins, et le prix de la RAM n'était pas ce qu'il est aujourd'hui). Tout cela c'est bien joli, mais où sont les spécifications de Windows ?
Aucun outil gratuit ou prélivré pour développer sous Windows. QBasic est relégué dans un obscur répertoire du CD (quand on le possède). On découvre avec effroi les prix de ces outils qu'il faut payer de d'onéreuses formations pour être en somme un technicien Microsoft ! "Détendez-vous, nous pensons pour vous !".
- 2000 et +: Aujourd'hui, on n'est même plus propriétaire de son travail: Il est interdit de développer sous les logiciels MS du travail en rapport avec GNU (Cette clause, à mon avis, n'est pas applicable. Quelqu'un confirme ?). Les outils de dev sont toujours aussi prohibitifs, mais on tolère de façon muette leur utilisation en pirate car c'est le seul moyen pour un particulier de se former à Windows, et que cela fait toujours plus de gens raliés à Windows. Je trouve le procédé un peu mafieux.
- 2010: Et demain ? Si cela se trouve, MS aura envahi 99.9% du marché, et il sera peut-être tout bonnement interdit de développer sur leurs OS, marché exclusif. Ou alors, il faudra obligatoirement posséder une license de partenariat pour avoir le droit de chasser sur le territoire de Bill. Je vois bien l'avenir des stratégies MS comme çà ...
Quant à nous, on passera tous pour de vieux réactionnaires isolés un peu toqués.
-Cela veut dire qu'à mon avis, assurer la fiabilité de leurs systèmes, chez MS, n'est pas forcément interressant, car ce sera toujours plus coûteux qui bénéfique.
-Ca ne les interresse pas non plus de former des informaticiens car il faut fidéliser les clients en les rendant dépendants.
-Ensuite, il faut favoriser le passage à la version supérieure (c'est vrai partout: Mon Viruscan 4 de McAfee sur la partition Windows de mes parents plante quand je lui mets la dernière mise à jour des bases prévue pour, mais McAfee ne me donnera probablement plus d'assistance car à présent il faut acheter la v5).
Ca entretient le marché, et cela entretient aussi celui des vendeurs qui vont autour). C'est exactement comme vendre des bocaux percés, et inciter les gens à acheter de nouveaux produits au fur et à mesure qu'il fuit pour le remplir !
Au fond, Microsoft est un dealer :-)
Je suis résigné maintenant, nous aurons toujours de grosses failles de sécurité chez Redmond. Moi en ce qui me concerne:
- J'ai la passion de l'informatique: J'ai appris la programmation, et notament l'assembleur.
- J'ai souhaité avoir un système qui ne me prenne pas en otage: j'ai choisi Unix
- J'ai choisi de ne pas être un pirate, de faire partager mes connaissances et mes créations, d'avoir un grand réseau de contacts, et d'apporter ma pierre la où je le pouvait: J'ai choisi GNU/Linux. Et ben je dois dire que j'ai reçu beaucoup plus en échange ! :-)
Fin du billet d'humeur ! Amitiés à tous.
[^] # Re: Changement d'OS
Posté par Olivier Jeannet . Évalué à 10.
Ce que tu dis rejoints l'article "The Death of TCP ; Why the Age of Internet Innocence is Over" disponible à http://www.pbs.org/cringely/pulpit/pulpit20010802.html(...) , dont on avait parlé ici, j'avais traduit des extraits.
Voici un extrait qui m'a éclairé (j'ai un peu la flemme de faire la traduc, désolé) :
But you must understand that Microsoft limits its investments to things that will enhance a product's market share. Every feature in Windows had to pass the litmus test, "Does it increase market share?" Putting security safeguards in their products evidently failed the litmus test, and therefore weren't added. While it is true that virus authors will target platforms that give them the most bang for their programming buck, the Windows platform has virtually no security to even slow them down. I believe the lack of security in Microsoft software was a deliberate business decision.
Le "litmus test" c'est le test du papier tournesol je crois (on trempe le papier dans une solution et il prend des couleurs différentes selon que la solution est acide ou basique). C'est un test quoi :-)
[^] # Re: Changement d'OS
Posté par cortex . Évalué à -1.
>Bref, c'est l'éternel problème avec Microsoft. Ils font des zolies choses qui font que, pour bcp de gens, savoir clicker sur des icônes fait d'eux des informaticiens.
Ben je veut pas foutre la merde mais un patch M$ est quand même plus facile à appliquer...
--
apt-get update && apt-get dist-upgrade
[^] # Re: Changement d'OS
Posté par loopkin . Évalué à 3.
Si tu veux dire qu'il est plus simple de double cliquer sur un fichier pour appliquer un patch que de faire patch -p blahblah et recompiler éventuellement, tu as raison... Mais si tu veux dire que tu obtiens une amélioration systématiquement après avoir patché de cette façon, c'est absolument faux:
1- d'une part, il faut souvent appliquer les patchs dans un certain ordre, et c souvent pas très bien documenté.
2- de plus il faut bien lire l'article de la KB associé au patch, car parfois en plus de patcher, faut modifier à la mano une entrée de la base de registre pour avoir un fonctionnement optimal du patch
3- enfin sous linux, pour patcher, il suffit bien souvent d'un simple script bien senti (chaque distro a le sien, en qqch-update, mais je crois que le top c'est avec la debian), parce que, précisément le boulot d'une distro c'est de faire de l'INTEGRATION, mot que M$ ignore totalement.
[^] # Re: Changement d'OS
Posté par cortex . Évalué à -4.
Ben sous Linux c'est pas beaucoup mieux, si tu n'est pas trés bien organisé, tu peut vite te perdre dans les numéros de version...
>2- de plus il faut bien lire l'article de la KB associé au patch, car parfois en plus de patcher, faut modifier à la mano une entrée de la base de registre pour avoir un fonctionnement optimal du patch
Ben c'est sur que les utilisateur de W... ne sont pas abitué à lire la doc, on va peut-être bientôt voir des RTFM dans les newsgroup comp.M$.sux
>3- enfin sous linux, pour patcher, il suffit bien souvent d'un simple script bien senti (chaque distro a le sien, en qqch-update, mais je crois que le top c'est avec la debian), parce que, précisément le boulot d'une distro c'est de faire de l'INTEGRATION, mot que M$ ignore totalement.
Avec la Debian tu fait : "apt-get update; apt-get upgrade" et tu à les derniers paquet en date d'installé sur ta machine. Et quand je dis dernier en date, c'est que les patchs de sécu sont appliqués... Donc si tu install ta distrib en stable tu est... stable
Bref pour dire qu'installer un patch c'est toujours aussi chi^H^H^H génant quelque soit le systéme.
Et je voulais juste ajouté que je n'ai rien contre MS juste que leurs OS sont juste bon pour de poste burautique(et encore seulement bureautique).
[^] # Re: Changement d'OS
Posté par Wawet76 (site web personnel) . Évalué à 8.
> patch M$ est quand même plus facile à
> appliquer...
Je pense que tu devrais effacer ta signature pour rester crédible.
[^] # Re: Changement d'OS
Posté par cortex . Évalué à -1.
Mais je dois quand même dire qu'avant de pouvoir faire un apt-get, il faut pouvoir avoir installé la Debian.
Et instaler la Débian n'est pas donné à la portée du permier venu, ou en fait si puisque qu'il faut faire suivant a chaque fois. Mais 1 on ne clique pas ;) et 2 il y a plein d'informations à lire dans un anglais très technique.
Donc pour être un bon admin il faut :
1 Avoir un bon OS
2 Suivre régulierement les nouvelles failles et appliquer les pacth régièrement
3 Etre Maso et beaucoup aimé le travail inutile
4 Etre féneant pour oublier le point 3 et gagner du temps sur le point 2 en aillant bien choisi le point 1 (Debian)
[^] # Re: Changement d'OS
Posté par Moule Atarte (site web personnel) . Évalué à 9.
Certes, mais, comme le fait remarquer loopkin (merci Bilal) un poil plus bas, un admin peut hésiter à patcher du M$ car il a de très fortes raisons de croire à une mauvaise intégration du patch.
Juste pour dire que l'incompétence semble relativement répartie; et que personnellement j'aurais, si j'étais en situation de le faire, moins de craintes à patcher un Apache sous Linux qui marche, qu'un IIS sous 2000 qui est raisonnablement stable (reboot une fois par semaine seulement :) ).C'est aussi un aspect du problème !
[^] # Re: Changement d'OS
Posté par Thomas Pedoussaut . Évalué à 10.
Il dit entre autre que IIS est sécure car le cercle des gens ayant accès au code est très restreint [sic].
Ah, la sécurité par l'obscurantisme, quand tu nous tient !
[^] # Re: Changement d'OS
Posté par loopkin . Évalué à 10.
"Microsoft a bien travaillé sur l'industrialisation des processus de publication des fichiers correctifs. Tous ceux qui sont inscrits sur les listes de diffusion adéquates sont informés aussitôt les failles connues et l'élaboration des patchs est très réactive. Seul bémol, cette réactivité est en effet bonne pour les patches en version américaine mais un peu moins pour les versions localisées. Un utilisateur peut généralement appliquer des patches US sur des versions françaises des produits mais dans ce cas là le support n'est plus possible ensuite."
autrement dit: tu achètes un serveur en français (drôle d'idée puisqu'on est en France), et après, tu as le choix entre:
1- laisser ton système ouvert sur l'extérieur, à code red et à tout le reste en attendant qu'ils veuillent bien patcher le bazar EN FRANCAIS
2- appliquer un patch US et après, donc, te passer totalement pour la suite des évènements (prochain trou de sécurité) du support microsoft, le tout pour un produit que tu leur a payé la peau des fesses !!!!
C'est proprement scandaleux !!!!!
Ce mec est une pub vivante pour GNU/Linux, qu'il continue ;-))
[^] # Re: Changement d'OS
Posté par Yves Dessertine . Évalué à 5.
1- laisser ton système ouvert sur l'extérieur, à code red et à tout le reste en attendant qu'ils veuillent bien patcher le bazar EN FRANCAIS
2- appliquer un patch US et après, donc, te passer totalement pour la suite des évènements (prochain trou de sécurité) du support microsoft, le tout pour un produit que tu leur a payé la peau des fesses !!!!
Euh ... je ne connais Rrrrien à la programmation Windows, mais n'existe-t-il pas un truc genre gettext sous wiwi, avec un genre de fichier PO, et des trucs comme ça ? Il faut reconnaître que les mecanismes d'internationnalisation sous Linux sont tout simplement géniaux (attention, je parle des mécanismes, cela ne signifie pas que toutes les applications sont internationnalisées, mais d'immenses progrès se font jour après jour dans ce domaine). Je vous invite vous aussi à contribuer à l'internationnalisation d'applications de votre choix. Si chacun apporte sa brique à l'édifice, on voit ce que ça donne !!
C'est proprement scandaleux !!!!!
Le jour où les esclaves de systèmes Kro (et, de façon plus générale, des systèmes propriétaires abusant de leur monopole) auront compris cela, ce sera, à mon avis, un grand pas en avant pour l'humanité !
[^] # Re: Changement d'OS
Posté par loopkin . Évalué à 1.
ça se voit assez fréquemment quand tu installes un logiciel anglais sur un windows français par exemple, tu vas te taper des questions du style "MSVCRT.dll: le programme que vous tentez d'installé est pour une langue différente de celui existant, voulez vous conserver ce fichier ?" (bon, d'accord, le texte est pas exactement ça, mais j'ai toujours beaucoup de mal à me souvenir exactement de la poésie des mots des messages d'erreur de windows...)
la couche d'abstraction pour l'internationalisation dans Linux est remarquable ceci dit (enfin je connais que celle de KDE)
[^] # Re: Changement d'OS
Posté par GCN (site web personnel) . Évalué à 4.
Et il a raison. Quand on voit des worms comme CodeRed, Nimda, etc... On voit à quel point IIS est sécure. Je n'ose même pas imaginer ce que ce serait si le cercle des personnes ayant accès au source était plus grand ;).
Faut vraiment être timbré pour sortir des énormités comme ça.
[^] # Re: Changement d'OS
Posté par Obsidian . Évalué à 3.
Bon blague à part, faut quand même remettre les choses dans leur contexte: La société en question est "le fruit d'un parterna... euh d'un joint-venture entre Accenture (ex Andersen Consulting, si je ne m'abuse) et Microsoft, et spécialisée dans l'intégration des infrastructures logicielles de ce dernier".
Il ne faut donc pas s'attendre à lire quelque chose d'objectif ...
Amitiés.
[^] # Re: Changement d'OS
Posté par Wawet76 (site web personnel) . Évalué à 4.
Whaaaaaaaaa...
Je ne pensais pas qu'on puisse verrouiller à ce point un système...
--
[^] # Re: Changement d'OS
Posté par Toufou (site web personnel) . Évalué à 1.
Pourtant, vu la diffusion d'apache, je me demande comment on peut raconter des énormités pareilles. En argumentant en disant que les vilains pirates de LE internet sont anti MS ?
[^] # Re: Vérifie tes infos
Posté par Lagaffe Gaston . Évalué à 7.
> > if you've patched the kernel with string match support: yes:
> > $IPTABLES -I INPUT -p tcp --dport 80 -m string --string .exe? -m state \
> > --state ESTABLISHED -j REJECT --reject-with tcp-reset
> > (same works wizh .ida for the old one)
Ca peut -être utile si vraiment tes logs devienent illisible (c'est mon cas). pour explication, ce patch se trouve fourni avec le package source de iptables (patch-o-matic)
Cordialement (ca fait chic).
[^] # Re: Vérifie tes infos
Posté par Jerome Demeyer . Évalué à 4.
Par contre, tu peux blacklister les serveurs infectés pour qu'ils évitent de te pourrir tes logs . Il suffit de lancer une ligne en nohup :
nohup (tail -n10000 -f access_log | awk '/root.exe|default.ida/{system("/sbin/ipchains -A input -j DENY -i eth0 -p tcp -s " $1 " --destination-port 80")}' ) &
pour iptables, je ne sait pas quelle sera la meilleure syntaxe (--reject-with tcp-reset et compagnie)
# Juste une accalmie
Posté par Gauthier (Mastodon) . Évalué à 8.
100 _ 18/Sep/2001
219 _ 19/Sep/2001
88 __ 20/Sep/2001
57 __ 21/Sep/2001
32 __ 22/Sep/2001
36 __ 24/Sep/2001
33 __ 25/Sep/2001
25 __ 26/Sep/2001
16 __ 27/Sep/2001
4 ___ 28/Sep/2001
Je pensais que la baisse était juste du a l'appliquation des patchs.
[^] # Re: Juste une accalmie
Posté par Gauthier (Mastodon) . Évalué à 6.
Le script c'etait celui de Pascal : http://linuxfr.org/comments/view.php3?news_id=5031&com_id=63053(...)
la prochaine fois je me relis.
[^] # Re: Juste une accalmie
Posté par Moule Atarte (site web personnel) . Évalué à 3.
s/appliquation/application
Mais maintenant qu'on connaît le truc, il reste possible d'être facho : tu refuses toutes les requêtes d'une IP pendant un jour j si elle était vérolée et qu'elle t'as attaqué à j-10...
<TROLL>T'as déjà vu un admin M$ appliquer des patchs ?</TROLL>Qualqu'un est capable de coder ça ?
Pas moi en tous cas :)
[^] # Re: Juste une accalmie
Posté par PLuG . Évalué à 6.
Ben oui, même qu'ils sont obligé d'appliquer plusieurs fois le même !!
A chaque installation d'une application, il faut se poser la question -- quels patchs ont été annulé par cette installation ? -- dans quel ordre dois-je réinstaller le biniou ?
Franchement, Nimda Microsoft, c'est pas un ca sert d'OS !
[^] # Re: Juste une accalmie
Posté par kadreg . Évalué à 0.
[^] # Re: Juste une accalmie
Posté par loopkin . Évalué à 8.
Le SP7 a été annulé.. bonne ou mauvaise chose, je ne sais trop. L'avantage d'un SP, c'est qu'il était à peu près bien intégré. Officiellement, ils disent que un SP complet, ça risque de déstabiliser le système (après avoir soutenu cette politique pendant une dizaine d'années), alors ils ont créé un SRP (Security Rollup Package), qui, tenez vous bien, applique une bonne trentaine de patchs successifs, relatifs à la sécurité de la chose (WNT et IIS): http://support.microsoft.com/support/kb/articles/q299/4/44.asp?ID=2(...)
(c'est pas de la news hyper neuve, ça date de fin juillet cette horreur)
Perso, ayant encore hélas à m'occuper d'un serveur IIS (*snif*), j'en avais déjà appliqués certains de ces patches (et notamment ceux nécessaires pour empêcher code red)... Ben la stabilité est vraiment pas fameuse depuis, g du programmer un reboot chaque jour (au lieu de chaque semaine). Alors avec 30 patchs tout aussi bien intégrés d'un coup, je me demande ce que ça va être.
Bref, je vais me grouiller de finir la migration Linux du bazar !!!
# IIS ca devrait etre interdit
Posté par Stephane Salettes . Évalué à 5.
***************
62.23.100.13 - - [26/Sep/2001:20:47:42 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXX
200.179.130.66 - - [26/Sep/2001:20:50:14 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
200.179.130.66 - - [26/Sep/2001:20:50:17 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
200.179.130.66 - - [26/Sep/2001:20:50:20 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
200.179.130.66 - - [26/Sep/2001:20:50:24 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
*************
Voila
Debranchez SVP tous les serveur IIS
[^] # Re: IIS ca devrait etre interdit
Posté par Nico . Évalué à 5.
Tu crois pas si bien dire !!!
Si à la fin du WE, je trouve trace d'une recidive de ce pu%1 de virus de mer%e, je forwarde la liste des IP se trouvant sur la plage appartenant à mon Provider, et je demande la suppression temporaire de leur acces au Net ! et ce jusqu'à ce que les patchs soient installés par les admins des boites concernées !
Ca fera toujours de la bande passante/propagation/infection en moins !!
On peut toujours essayer... ça coute rien ! ;))
Nico
[^] # Re: IIS ca devrait etre interdit
Posté par Stephane Salettes . Évalué à 2.
On va pas ce laisser emerder nom :)
qui a un vers kaki collé au PC !!!
[^] # Re: IIS ca devrait etre interdit
Posté par Nico . Évalué à 1.
;))
[^] # Re: IIS ca devrait etre interdit
Posté par Anonyme . Évalué à 0.
voir stats de mon firewall sur 3 jours :
http:// bidouille.dyndns.org/nimda/wormed.txt
Plus sourd et muet que wanadoo tu meurs j'ai téléphoné maillé etc... Ils n'ont même pas envoyé un mail aux abonnés par contre on recoit très bien les pub merci....... Je crois qu'il s'en contrefichent si leurs abonnés contaminent tout le net.........
[^] # Re: IIS ca devrait etre interdit
Posté par Nico . Évalué à 1.
Moi je parlait des abonnements professionels !
style Oléane, Colt, UUnet et compagnie.... là, c'est pas monsieur tout le mode qui est contaminé ! Ce sont de vraies boites, par exemple, j'ai eu la "visite" d'une machine de TF1... ;))
Nico
[^] # Re: IIS ca devrait etre interdit
Posté par Jerome Demeyer . Évalué à 2.
#!/bin/sh
#lancer ce script 1 fois, il suivra les logs apaches
logs=/var/logs/httpd/access_log
tail -f -n$(cat $logs|wc -l) -f $logs | awk '/root.exe|default.ida/{system("/sbin/ipchains -A input -j DENY -i eth0 -p tcp -s " $1 " --destination-port 80")}'
#EOF
avec iptable ca doit être une syntaxe assez proche
[^] # Re: IIS ca devrait etre interdit
Posté par Nico . Évalué à 1.
Tu auras beau mettre ipchains ou iptable, les packets tcp iront jusqu'à ta machine.
[^] # Pas besoin d'avoir une IP fixe!
Posté par Vincent Caron . Évalué à 2.
"GET /default.ida?XXXXXXXXXXXXXX
213.228.161.251 - - [26/Sep/2001:19:05:48 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210
213.228.161.251 - - [26/Sep/2001:19:05:51 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208
213.228.161.251 - - [26/Sep/2001:19:05:57 +0200] "GET /c/winnt/system32/cmd.exe? /c+dir HTTP/1.0" 404 218
213.228.161.251 - - [26/Sep/2001:19:11:52 +0200] "-" 408 -
213.228.43.53 - - [26/Sep/2001:20:27:00 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210
Cool, non!
# Faites gaffe à vos filtres !
Posté par Christophe BAEGERT . Évalué à 10.
Content-Type: audio/x-wav;
name="readme.exe"
Donc si vos filtres sur votre serveur de messagerie cherchent Content-Type:.*name=.*\.exe le virus passera !!!!
Ca m'a infecté 5 postes clients sous NT à cause de ca...
[^] # Re: Faites gaffe à vos filtres !
Posté par Cyril Jovet . Évalué à 1.
/(filename|name)=".*\.(scr|pif|bat|cmd|exe....)"$/
fera très bien l'affaire
# comptage (concours de ligne de commande)
Posté par cliklik . Évalué à 2.
En effet on peut configurer iptable (kernels 2.4.x) pour qu'il rejete (DROP et non DENY) les appel sur le port 80.
Ainsi la tentative d'accès est tout de suite mise à la poubelle et n'arrive pas sur un serveur web.
Dans les log, la ligne est de la forme :
" ... SRC=123.132.123.123 ... DPT=80 ...."
merci
cliklik
PS : un jour j'apprendrais awk
[^] # Re: comptage (concours de ligne de commande)
Posté par Manu (site web personnel) . Évalué à 3.
[^] # Re: comptage (concours de ligne de commande)
Posté par Anonyme . Évalué à 1.
Sep 20 23:51:07 yzordderrex kernel: FW Drop:IN=ppp0 OUT= MAC= SRC=217.128.45.206 DST=217.128.209.153 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=41390 DF PROTO=TCP SPT=3684 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
mais j'aimerais bien le piper dans qqche qui m'isole les adresses du type "217.128.45.206". ensuite je peux envoyer sur un
sort -u | wc
pour compter uniquement les ip différentes.
je peux meme rajouter un "Sep 20" dans le grep pour avoir un jour particulier.
cliklik (qui n'est authentifié qu'au boulot)
[^] # Re: comptage (concours de ligne de commande)
Posté par Vivi (site web personnel) . Évalué à 2.
awk '{match($0,/SRC=[0-9.]*/);print substr($0,RSTART+4, RLENGTH-4)}'
[^] # Re: comptage (concours de ligne de commande)
Posté par PLuG . Évalué à 4.
sed -e 's/^.* SRC=\([0-9]*\.[0-9]*\.[0-9]*\.[0-9]*\) .*$/\1/'
:-)
[^] # Re: comptage (concours de ligne de commande)
Posté par Manu (site web personnel) . Évalué à 2.
Tel quel ce sed te renverra surement ta propre adresse.
[^] # Re: comptage (concours de ligne de commande)
Posté par PLuG . Évalué à 1.
"dans quoi piper le filtre (qui virait deja les ICMP) pour ne garder que les adresses sources).
Je pense donc que ma réponse était déjà fonctionnelle.
[^] # Re: comptage (concours de ligne de commande)
Posté par Foxy (site web personnel) . Évalué à 4.
- Total du nombre d'attaques :
grep c+dir access_log|wc -l
- Total du nombre d'ip differentes :
grep c+dir access_log | cut -d " " -f 1 | sort | uniq -c | wc -l
- Liste des ips triées selon leur occurence :
grep c+dir access_log | cut -d " " -f 1 | sort | uniq -c | sort
- Nombre d'attaques heures par heures :
grep c+dir access_log | cut -d " " -f 4 | cut -d ":" -f 1,2 | uniq -c
- Liste des IP attaquantes :
grep system32 error_log |cut -d " " -f 8 |sort -u |sed s/\]//g
[^] # Re: comptage (concours de ligne de commande)
Posté par cliklik . Évalué à 0.
J'avais vu ces scripts, mais je voulais parser /var/log/messages qui contient toutes les tentaives d'accès (pas uniquement les demandes http sur le port 80).
Ainsi je pourrais les modifier si je veux compter les accès sur d'autres ports.
cliklik (qui s'est authentifier pour dépenser ses votes)
PS : merci pour les réponses !
# Re : Nimda
Posté par Anonyme . Évalué à 1.
Mais c plus facile à soigner quand on a été prévenu dc merci cedric!!!
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.