Je ne pensais pas que c'étais à ce point là ...
J'ai mis en place sur ma machine qui fourni le partage de ma connexion ADSL un serveur Apache. Bref 15 minutes après je me retrouve avec des logs apache du style :
81.48.193.93 - - [11/Jan/2003:16:46:11 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323
Dans la soirée j'ai eu droit à une autre embardée de ce style de requetes. A chaque fois les requetes proviennent d'abonnés Wana*** (comme moi). Un petit coup de nmap sur les IP me donnent des utilisateurs de WinXP. Le plus drole dans l'histoire est que l'adresse dyndns de ma machine n'est connue que de moi, je n'ose donc imaginer la pollution des logs par ce style de "pros de l'informatique" sur un serveur dont l'adresse est connue ...
Bref je suis effaré de voir à quel point les script kiddies scannent de façon brutale des plages d'adresse. En meme temps ça fait réfléchir sur le niveau de compétence de ceux qui pronent l'utilisation de IIS/Asp/tout le reste .
Journal H4ck3rz deluxe
11
jan.
2003
# Re: H4ck3rz deluxe
Posté par lorill (site web personnel) . Évalué à 2.
[^] # Re: H4ck3rz deluxe
Posté par earxtacy . Évalué à 1.
je le retrouve dans plein de logs
[^] # Re: H4ck3rz deluxe
Posté par Stephane Marchesin (site web personnel) . Évalué à 4.
Pour les problèmes d'attaque sur le port 80, j'en ai aussi plein (un peu toujours les mêmes, c'est-à-dire des trucs automatisés, j'ai l'impression que c'est pas mal de nessus), je suis en train de mettre en place une solution avec iptables et le patch "recent" que trouveras ici :
http://www.netfilter.org/documentation/pomlist/pom-extra.html#recen(...)
Une des utilisations de ce patch est de permettre de limiter le nombre de connections à un port, du genre pas plus de 5 connections par minute par ip, ce qui devrait suffire à calmer les petits hackerz.
[^] # Re: H4ck3rz deluxe
Posté par earxtacy . Évalué à 0.
bien vu ;)
[^] # Re: H4ck3rz deluxe
Posté par Anonyme . Évalué à 2.
En tous cas c'est toujours marrant de dresser le profile du parfait trouduc' : il utilise un WinXP :-)
Sinon cette machine me fait aussi office de relai SMTP avec Exim. Je suis assez épaté par le nombre de gens qui cherchent à se faire relayer ... (/var/log/exim/rejectlog). J'en ai un qui revient souvent, c'est 'china[je sais plus quoi']. D'autres personnes ont-elles aussi remarqué ce genre de nuisibles ?
[^] # Re: H4ck3rz deluxe
Posté par lorill (site web personnel) . Évalué à 2.
2003-01-11 12:05:01 refused relay (host) to <001@1stdns.net> from <smtpscan2002@yahoo.com> H=(213.41.135.1) [218.242.56.104] (failed to find host name from IP address)
[^] # Re: H4ck3rz deluxe
Posté par Anonyme . Évalué à 2.
Voilà la trace exacte de mon record-man de rejets :
2003-01-09 02:53:20 refused relay (host) to <china9988@21cn.com> from <china9988@21cn.com> H=(chpy-veultbpaqu) [210.222.196.142] (failed to find host name from IP address)
[^] # Re: H4ck3rz deluxe
Posté par Tof . Évalué à 1.
Et généralement peu de temps apres y'a Wanadoo qui tappelle pour te prévenir que ca va pas bien là.
Enfin tout ca avec une IP fixe...
[^] # Re: H4ck3rz deluxe
Posté par PloufPlouf (site web personnel) . Évalué à 2.
c'est toi le trou du cul
[^] # Re: H4ck3rz deluxe
Posté par AzzE . Évalué à 3.
http://www.wormwatch.org/(...)
http://isc.incidents.org/(...)
[^] # Re: H4ck3rz deluxe
Posté par Sylvain Rampacek (site web personnel) . Évalué à 1.
nimda, c'est plutôt un truc du genre default.ida suivi de plein de N... (qui est plus rare...)
mais sinon, ce genre d'attaque ne vise personne en particulier, puisqu'il sélectionne un pool d'IP au hasard toutes les 30 secondes... (si mes souvenirs sont bons...)
donc que votre nom de domaine soit connu ou pas, ça ne change strictement rien ! (pour ces vers bien évidemment).
# Re: H4ck3rz deluxe
Posté par Anonyme . Évalué à 0.
Sur les serveurs public sur lesquels je suis admin, il n'y a rien de tout ça non plus dans les logs : je suppose que ceux qui lancent ce type de trucs visent les machines de particuliers, pas les serveurs grand public.
# Re: H4ck3rz deluxe
Posté par Ecran Plat (site web personnel, Mastodon) . Évalué à -1.
et y en a meme un qui a voulut se connecter en ssh chez moi en anonymous c'etait le 2 janvier a 10h37 et 14s pour être précis le gars venait de btopenworld.com avec l'ip 213.123.115.141 (opérateur anglais)
j'ai une question
peut t'on porter plainte pour tentative de piratage avec de telle donnée ?
Histoire de tirer un coup de semonce sur l'adolescant boutonneux en mal de poussé d'adréladine, ca le calmerait peut être
[^] # Re: H4ck3rz deluxe
Posté par Pierre Tramo . Évalué à 3.
Portons plainte contre le monsieur qui se fait jeter par ssh.
Portons plainte contre le monsieur qui a essayé de se connecter avec Back Orifice.
Portons plainte contre le monsieur qui a essayé de relayer son spam.
Portons plainte contre le monsieur qui a codered ou nimda et qui est trop con pour savoir configurer sa machine.
Portons plainte contre le monsieur qui envoie des virus grâce à son Outlook.
Portons plainte contre les gens qui traversent en dehors des clous.
Portons plainte contre les petits oiseaux qui chantent trop fort le matin, ça me fait mal au crâne.
Portons plainte contre la météo, parce que là, -5 à Rennes, c'est vraiment pas une température normale (c'est la faute aux essais nucléaires ma bonne dame...).
Y'a des fois, je me demande qui est l'adolescent boutonneux. JK qui fait joujou avec sa collec de script-kiddies ou le pseudo admin qui se sent obligé d'envoyer un abuse à chaque log.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.