[Log] Comment mieux les gerer ?

Comment mieux les gerer ? [Log] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 28-02-2003 à 01:41:27    

Mon routeur/serveur fait tourner plusiseurs services qui en toute logique logguent ce qui se passe
Mais ces logs sont rendus inutilisables a cause de la surquantité d'attaque de vers ou de synattak et autre ....
 
Comment puis-je faire pr qu'apache log les attaks nimda & co dans un fichier fiat pour, que iptables logs les synattak & co dans un fichier fait pour ...
 
Merci a vous !


Message édité par HuGoBioS le 28-02-2003 à 17:10:09

---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 28-02-2003 à 01:41:27   

Reply

Marsh Posté le 28-02-2003 à 02:00:13    

il semblerait que ca soit des vers qui fassent ca c'est cool dis donc !


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 28-02-2003 à 02:02:54    

c est du nimda et/ou codred , et dans 99% des cas les personnes qui "gerent" ces machines ne savent meme pas qu elles sont infectés , ne crient pas au script kiddie aussi vite
 
rajoute ca dans ton httpd.conf
 

Code :
  1. SetEnvIfNoCase Request_URI "^/scripts/" nolog
  2. SetEnvIfNoCase Request_URI "^/msadc/" nolog
  3. SetEnvIfNoCase Request_URI "^/_vti_bin/" nolog
  4. SetEnvIfNoCase Request_URI "^/_mem_bin/" nolog
  5. SetEnvIfNoCase Request_URI "^/c/winnt/" nolog
  6. SetEnvIfNoCase Request_URI "^/d/winnt/" nolog
  7. SetEnvIfNoCase Request_URI "^/default.ida" nolog
  8. Redirect gone /scripts/
  9. Redirect gone /msadc/
  10. Redirect gone /_vti_bin/
  11. Redirect gone /_mem_bin/
  12. Redirect gone /c/winnt/
  13. Redirect gone /d/winnt/
  14. Redirect gone /default.ida
  16. CustomLog /var/log/apache/access_log common env=!nolog

 
 
pourl derniere ligne c est selon ou se trouvent tes logs


Message édité par houplaboom42 le 28-02-2003 à 02:03:21
Reply

Marsh Posté le 28-02-2003 à 02:08:26    

houplaboom42 a écrit :

c est du nimda et/ou codred , et dans 99% des cas les personnes qui "gerent" ces machines ne savent meme pas qu elles sont infectés , ne crient pas au script kiddie aussi vite
 
rajoute ca dans ton httpd.conf
 

Code :
  1. SetEnvIfNoCase Request_URI "^/scripts/" nolog
  2. SetEnvIfNoCase Request_URI "^/msadc/" nolog
  3. SetEnvIfNoCase Request_URI "^/_vti_bin/" nolog
  4. SetEnvIfNoCase Request_URI "^/_mem_bin/" nolog
  5. SetEnvIfNoCase Request_URI "^/c/winnt/" nolog
  6. SetEnvIfNoCase Request_URI "^/d/winnt/" nolog
  7. SetEnvIfNoCase Request_URI "^/default.ida" nolog
  8. Redirect gone /scripts/
  9. Redirect gone /msadc/
  10. Redirect gone /_vti_bin/
  11. Redirect gone /_mem_bin/
  12. Redirect gone /c/winnt/
  13. Redirect gone /d/winnt/
  14. Redirect gone /default.ida
  16. CustomLog /var/log/apache/access_log common env=!nolog

 
 
pourl derniere ligne c est selon ou se trouvent tes logs

oky merci ! excusez ma hate hative !
 
heu ... jemet ca ou dans httpd.conf !!! je trouve pas une seciton on ca conviendrait ...


Message édité par HuGoBioS le 28-02-2003 à 02:13:11

---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 28-02-2003 à 02:23:25    

ok j'ai trouvé ! dans httpd.conf y' adeja une ref a CustomLog
j'ai collé les lignes juste au dessus, y'a plsu u'a tester !!


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 28-02-2003 à 02:28:24    

vegeta020786 a écrit :

C'est bien beau mais c'est juste pour les logs ça, le principal (Nimda) y est encore...

béh non, toi tu n'est pas infecté! c'est juste des gens de l'exterieurs qui sont infectés et qui essayent d'infecter ta machine !


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 28-02-2003 à 02:48:38    

vegeta020786 a écrit :

Citation :

 
SetEnvIfNoCase Request_URI "^/scripts/" nolog
   SetEnvIfNoCase Request_URI "^/msadc/" nolog  
   SetEnvIfNoCase Request_URI "^/_vti_bin/" nolog
   SetEnvIfNoCase Request_URI "^/_mem_bin/" nolog
   SetEnvIfNoCase Request_URI "^/c/winnt/" nolog  
   SetEnvIfNoCase Request_URI "^/d/winnt/" nolog  
   SetEnvIfNoCase Request_URI "^/default.ida" nolog
   Redirect gone /scripts/  
   Redirect gone /msadc/    
   Redirect gone /_vti_bin/  
   Redirect gone /_mem_bin/                          
   Redirect gone /c/winnt/  
   Redirect gone /d/winnt/    
   Redirect gone /default.ida


 
Ca on le met n'importe où dans httpd.conf ?

:pfff: savent po lire les slackeux ? je l'ai ecris kklk posts plus haut ;-) mais je sais pas si c efficace, je verrai dans kklk heures si j'ai eu des attak ou pas


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 28-02-2003 à 12:49:20    

arf ca marhce pas j'ai tjs des pages et des pages d'attaque verreuses ;-)  [:sisicaivrai]
 
edit : elargissement du pb, cf premier post !


Message édité par HuGoBioS le 28-02-2003 à 13:00:23

---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 28-02-2003 à 15:13:49    

Reply

Marsh Posté le 28-02-2003 à 16:44:28    

vegeta020786 a écrit :

Pour l'instant j'ai pas de traces des attaques :)

tu peux me poster ton httpd.conf plz ??
 
p-e que tu etait moins souvent attaqué que moi ... je susi en ip-fixe ca augment les risques je pense ...
 
koike je sais pas comment fonctionne nimda


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 28-02-2003 à 16:44:28   

Reply

Marsh Posté le 28-02-2003 à 18:25:02    

JoWiLe a écrit :

iptables & ulog

heu ... tu veux pas delayer un peu ta reponse ? merci !


---------------
-= In Kik00 101 I trust :o =-
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed