Par hasard j'ai chécker mes logs apache et voici ce que je trouve  

 
Le pire c'est que le mec dopit etre en IP fixe car j'ai toujours la meme adresse Ip depuis 3h à 11 heures dans mes logs Iptables .
 
Donc soit le mec est con soit il cherche à se faire enlever son ADSL .
 
Par contre , par curiosité , j'aimerais bien savoir ce qu'il essaye de faire  
 

bah le mec en lui même essaye pas de te faire du mal
Il a un ver sur sa machine, il y est pour rien... C'est nimda je crois (à vérifier)

Mais comment il fonctionne ce vers ?
 
Et comment il détecte les Ip ?
 
 

tu rajoutes ca et ca devrait être bon
 

 
Il exploite une faille des serveurs IIS, et il scanne des plages d'ip à la recherche justement de serveur IIS. QUand il en trouve un, il l'infecte et rebelotte... Mais pour plus d'infos : www.google.com
 
EDIT : Comme je suis gentil http://www.cert.org/advisories/CA-2001-26.html
 
Et bonne idée de rediriger tout ça chez krosoft

Merci  
 
c'est cool  
 

Au fait si je redirige tout chez Bill , ils vont pensez que c'est mon serveur qui est infecté ????
OU encore pire , que j'essaye de les hacker ?
 

 
Euh le reste oui mais les favicons...

 
C'est pas toi qui va te connecter sur ms c'est la personne qui te scan.
Encore qu'avec ce virus je ne sais pas si ça fonctionne.

t es sur ??
 
car je vois pas comment ca fonctionne
 
apache modifie les paquets avec l adresse ip src donc ?

 
c'est pas apache c'est Iptables  
 
mais je préfère ne pas prendre le risque

heu redirectmatch tu mets pas ca ds httpd.conf ??

faux , ca sera la personne qui redirige qui sera vue par microsoft , néenmoin tres bonne idée quand meme microsoft dira rien ils ont pas que ca a faire que d'éxaminer leur milliards de lignes du meme genre dans leurs logs tous les jours

 
Euh si c'est dans le conf d'apache  
 
Je pensais a autre chose

ah je me disais bien aussi

 
Je viens de vérifier dans la doc d'apache.
Pour les debianeux et autres :
file:///usr/share/doc/apache/manual/mod/mod_alias.html#redirect
 

 
Ça renvoit bien la nouvelle url au client (M. nimda) qui va aller se connecter sur ms s'il gère le redirect.

en fait si on veut embéter quelqu'un le RedirectMatch des requetes Nimda c'est aussi un truc marrant à faire    

 

 
mais bon, spa bien

bah moi je renvois chez Microsoft. C'est une faille Microsoft, et je n'ai pas IIS chez moi.
 
Je rend à César ce qui est à César

m$ va se plaindre d'un ddos fait par des barbus intaigristes sous apache

Sinon oui faut rajouter ca dans httpd.conf

 
Hmmm, faudrait d'abord regarder la rfc sur http voir si ya pas l'adresse du serveur qui fait le redirect ou un truc du genre (je ne pense pas mais on ne sait jamais).
Enfin si ça fonctionne parce que rien ne dit que nimda le gère. Ça m'étonnerais fortement que les gars qui ont pondu ce virus se soient préoccupés de détails de ce genre.
Pour ça il faut tester ou regarder les sources de nimda.

Certains ont du temps a perdre... pour emmerder MS.
 
Pour repondre a la question : ecrire un mail au hostmaster de la machine de lui dire que sa machine est infectee. Normalement la machine est soit mise en quarantaine ou est patchee dans les 24h (si tu ne tombes pas sur un blaireau). Sinon tu regardes a qui appartient l'IP et tu indiques le probleme (ripe.net est ton ami).

sauf ke tu n aura pas affaire avec un webmaster mais un particulier donc DTC pour le mailer

oui c'est un particulier , abonné mamadoo

ct sur ca

En tous cas le nimda il lache pas prise j'ai fait les redirectmatch dans mes conf + DROP de l'IP et 10 mn encore je le voyait dans mes log (kernel) .
 
C'est que c'est tétue ces petits vers

 
S'il ne repond pas ? Tu ecris un mail a wannadoo signalant qu'un de leurs clients (etc...) et que tu exiges qu'ils reglent le probleme.
 
Non mais vous n'avez jamais fait ca ?
 
Et tes "DTC" tu te les garde.

sauf ke mamadoo risque fort de closed le compte du monsieur alors ke ce n est pas un "pirate"   (j ai vu un poste sur WSR d un gars a ki s est arrive )

mamadoo risque surtout de jeter le mail à la poubelle

pas sur
 
comme je l ai dis, un hard de WSR a eu son compte closed pour une histoire comme ca

 
une machine verollee doit etre mise en quarantaine... ce qui ne signifie pas fermeture de compte (coupure de connexion le temps d'une correction de probleme != fermeture de compte).
 
Mais il est clair qu'il est plus intelligent de laisser faire et de rediriger vers MS que d'informer d'un probleme qui risque de veroller d'autres machines...
 
anyway... je vais boire une biere

 
Quand on est incapable de poser un patch pour un probleme existant depuis 3 ans c'est merite...
 
Et encore une fois : j'ai dis "ecrire au hostmaster" (je n'ai jamais vu de site web sans adresse mail pour contacter le webmaster)... puis seulement ecrire au provider.

 
Kahyman  
 
je veux bien ecrire au particulier , mais j'ai juste son IP je sais meme pas si elle est dynamique ou fixe .
 
Mon seul moyen serait de prévenir son FAI .

oue oue
 
bref, moi je m en fou, suis sous linux

on l'est tous sous OSA non ?

nan
antp, romf, F18, ...