Journal Drole de logs

Posté par  (site web personnel) .
Étiquettes : aucune
0
23
sept.
2003
En zieutant mon log apache, vala ce que j'ai vu :


80.142.63.xxx - - [22/Sep/2003:01:24:19 +0200] "GET / HTTP/1.0" 200 3668 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:26 +0200] "GET /phpinfo.php HTTP/1.0" 404 312 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:26 +0200] "GET /index.php3 HTTP/1.0" 404 311 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:26 +0200] "GET /test.php HTTP/1.0" 200 97632 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET //phpAds//click.php HTTP/1.0" 404 319 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /width=55><a href=\"/pcl.php HTTP/1.0" 404 318 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET //index2.php HTTP/1.0" 404 312 "-" "-"
80.142.63.xxx- - [22/Sep/2003:01:24:28 +0200] "GET /src/login.php HTTP/1.0" 404 314 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET //thawte.php HTTP/1.0" 404 312 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /scp_main.php HTTP/1.0" 404 313 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /href=\"index.php HTTP/1.0" 404 316 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /introlinux.php HTTP/1.0" 404 315 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET //misc/rectum.php HTTP/1.0" 404 317 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET //horde/login.php HTTP/1.0" 404 317 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET //staff.php HTTP/1.0" 404 311 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /verification.php HTTP/1.0" 404 317 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET //aston.php HTTP/1.0" 404 311 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /kaori-forum/index.php HTTP/1.0" 404 322 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /news.php HTTP/1.0" 404 309 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /href=/horde/imp/index.php HTTP/1.0" 404 326 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /home.php HTTP/1.0" 404 309 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /irc/index.php HTTP/1.0" 404 314 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET /nigne.php HTTP/1.0" 404 310 "-" "-"
80.142.63.xxx - - [22/Sep/2003:01:24:28 +0200] "GET / HTTP/1.0" 200 3668 "-" "-"


C'est la première fois que je vois ca. Ca change des exploitations de failles classiques des serveurs web, apparement c'est une tentative pour détecter les applis installée... Et j'image pour par la suite exploiter une faille connue. Attention donc à bien appliquer les correctifs des app web en plus des app serveurs!

en tout cas, ca m'a permis de vois que j'avais un test.php qui trainait :))))

  • # Re: Drole de logs

    Posté par  . Évalué à 2.

    c'est effectivement bizarre, parce qu'en plus, la page / est visualisée deux fois, ce qui veut dire que le script qui fait ça ne doit pas être très évolué.

    • [^] # Re: Drole de logs

      Posté par  (site web personnel) . Évalué à 1.

      Je verrai bien le deuxieme GET / comme un controle, pour s'assurer si aprés toutes ces requetes infructueuses, l'IP n'aurait pas été bloquée par un qqcq outils de detection d'attaque.

      En tout cas, depuis j'ai Deny all toutes les requetes qui s'effectuent seulement par l'ip. Je n'ai laissé que des vhosts nommés.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.