Chapitre: vue d'ensemble Forum SELFHTML Chapitre: vue d'ensemble Archives du forum Chapitre: vue d'ensemble 2003 Chapitre: vue d'ensemble juillet
SELFHTML

Forum SELFHTML: Archives:
Attaque de pirate?
Page d'information: vue d'ensemble
vers le bas 

(SERVEURS) Attaque de pirate?

Le message suivant est de: David, Adresse électronique DavidB863917134@aol.com, 25. 07. 2003, 08:59

Bonjour tout le monde c'est encore moi! :-))

Voilà j'ai encore un truc qui me turlupine à vous soumettre. Voici le contexte: j'etais tranquillement entrain de faire des tests sur mon site, j'avais donc Apache de démarrer et j'etais connecté à internet (un pote essayais aussi depuis chez lui). A la fin je regarde mon fichier access.log et là surprise je decouvre ca:
61.144.221.146 - - [24/Jul/2003:11:06:33 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 308
61.144.221.146 - - [24/Jul/2003:11:06:35 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 308
61.144.221.146 - - [24/Jul/2003:11:06:36 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 308
61.144.221.146 - - [24/Jul/2003:11:06:37 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 308
61.144.221.146 - - [24/Jul/2003:11:06:38 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 308

(Je vous epargne une dizaine de lignes qui ressemble assez à la derniere). Alors si je traduis bien ya un mec depusi un navigateur internet, qui a essayer de demarrer le root.exe (typique pour prendre la main sur un systeme!) puis il a demarre les commandes MS-dos (par cmd.exe) et il a essaye de voir ce que j'avais sur mon C: (c+dir) mais ca lui a repondu le code d'etat htpp 302 ( à savoir: Moved Temporarialy Les données réclamées ont été déplacées provisoirement à une autre URI. Dans le message d'état, il est mentionné sous quelle adresse les données se trouvent actuellement. Un navigateur Web qui reçoit cette réponse du serveur, peut par exemple demander aussitôt l'adresse provisoirement valide.).

Alors quelqu'un peut-il m'expliquer plsu clairement ce qui se passe pendant un code d'etat 302 pour le client, svp, et quelqu'un peut-il peut-il affirmer que c'est bien une attaque.

Et si ça en ai bien une, pq est-il passer par son navigateur? Attaquer depuis le Dos est beaucoup plus discret, j'ai essayer le fichier access.log ne le reperd pas, seul un pare-feu peut eviter ça à mon avis.

Bon voilà c'est tout pour le momment, bonne vacances à tous (les veinards moi c'est déjà fini). Et pour ceux qui prennent le volant ce week-end faites gaffes!

David.


 
vers le hautvers le bas 

(SERVEURS) Attaque de pirate?

Le message suivant est de: David, Adresse électronique DavidB863917134@aol.com, 25. 07. 2003, 09:03

Ah! j'oubliais un petit truc, j'ai essayer de resoudre l'addresse IP avec differents resolver, soit il ne trouve rien, soit le nom est le meme que l'addresse IP. J'ai essayer ensuite de remonter ca trace, par la commande Ms-Dos tracert ip.du.gars au bout de 30 serveurs parcouru un peu partout dans le monde j'avais que des serveurs qui repondait temps de demande excede (ou un truc comme ca) donc j'ai jamais plus le remonter. ca m'inquiete tout ça.

Allez @+
David


 
vers le hautvers le bas 

(SERVEURS) Attaque de pirate?

Le message suivant est de: Patrick Andrieu, Adresse électronique nospam@nospam.fr, 25. 07. 2003, 10:03
http://www.selfhtml.com.fr/equipe/patrick.htm

Salut David!

»» 61.144.221.146 - - [24/Jul/2003:11:06:33 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 308
»» 61.144.221.146 - - [24/Jul/2003:11:06:35 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 308
»» 61.144.221.146 - - [24/Jul/2003:11:06:36 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 308
»» 61.144.221.146 - - [24/Jul/2003:11:06:37 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 308
»» 61.144.221.146 - - [24/Jul/2003:11:06:38 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 308

et une quinzaine de lignes dans ce style...

Pas raison de s'inquiéter sous Apache ou autres, il s'agit de Code Red, un virus qui a fait parler de lui il y a au moins 3 ans. Code Red infecte les serveurs IIS (sur Windows NT) de Microsoft, du moins ceux qui n'auront pas fait gaffe et pas installé le patch que Microsoft a offert tout de suite...

Code Red infectait donc les serveurs IIS, et chaque serveur contaminé devenait attaquant, envoyant à son tour ces lignes à chaque port ouvert.

Pas raison de s'inquiéter, le seul ennui est que ca bouffe des lignes, à raison de plusieurs attaques par jour de ce style. Ni non plus pour Nimda, environ du même âge que Code Red, et virus qui avait lui aussi fait parler de lui. On le reconnait aux lignes comportant qqch comme "default?ida" et une série de "X". Là aussi, aucun danger sous Apache et systèmes UNIX.

Espèrant t'avoir rassuré, si tu désires malgré tout en savoir plus, je pense qu'une recherche sur Google pour "Code Red" ou Nimda te donnera pas mal d'occurrences.


Patrick


 
vers le hautvers le bas 

(SERVEURS) Attaque de pirate?

Le message suivant est de: David, Adresse électronique DavidB863917134@aol.com, 25. 07. 2003, 10:26

Salut Patrick!

Merci de ta reponse ca me rassure! Je savais bien que j'avais bien fait de choisir Apache plutot que IIS ou un autre produit Microsoft!! :-)) Pour la ligne 211.141.223.27 - - [24/Jul/2003:11:55:28 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 302 308

c'est vrai qu'elle apparait environ 3 ou 4 fois par jour, et encore je ne fais que des tests mon site n'est pas encore 24/7 en ligne!
Bon je vais essayer d'en savoir plus sur ces petites betes.

@+ tout le monde! Et bonne vacances à toi Patrick!

David.


 
vers le hautvers le bas 

(SERVEURS) Attaque de pirate?

Le message suivant est de: CirTap, Adresse électronique cirtap@webmechanic.biz, 03. 08. 2003, 22:46
http://www.webmechanic.biz/

Salut Patrick!

j'ai mis ca dans le fichier httpd.conf

# some fixes to led Trojans & other IIS viruses into a dead-end
# street if apache is running and I'm connected to my provider
# Nimda and CodeRed/-Blue appear to be busy on IIS servers

# thank god I don't need a /cgi-bin/ directory :-)
ScriptAlias /cgi-bin/ "F:/temp/!dead/"

Alias /scripts/ "F:/temp/!dead/"
Alias /MSADC/ "F:/temp/!dead/"
Alias /c/winnt/system32/ "F:/temp/!dead/"
Alias /d/winnt/system32/ "F:/temp/!dead/"
Alias /e/winnt/system32/ "F:/temp/!dead/"
Alias /f/winnt/system32/ "F:/temp/!dead/"
Alias /fp_vti/ "F:/temp/!dead/"
Alias /_vti_bin/ "F:/temp/!dead/"
Alias /_mem_bin/ "F:/temp/!dead/"
Alias /msadc/ "F:/temp/!dead/"
<Directory "F:/temp/!dead/">
 AllowOverride None
 Order deny,allow
 Deny from all
</Directory>

<IfModule mod_userdir.c>
    UserDir "F:/temp/!dead/"
</IfModule>

enfin il y a besoin d'un dossier comme "F:/temp/!dead/" sur la disque dur.

..et en anglais :-)

the dummy-"Alias" entries cause enough errors for the viruses so they leave you alone, and the no longer appear in your log files.

CirTap.

PS: Hi, PAF! Lange nicht gelesen <g>


 
vers le haut
Chapitre: vue d'ensemble Forum SELFHTML Chapitre: vue d'ensemble Archives du forum Chapitre: vue d'ensemble 2003 Chapitre: vue d'ensemble juillet

© 1998-2004 Adresse électronique selfhtml@fr.selfhtml.org