On essaye de rentrer chez moi!

On essaye de rentrer chez moi! - Windows & Software

Marsh Posté le 27-12-2001 à 01:38:00    

En ce moment, je suis en train de me bricoler un serveur httpd en java.
 
Je suis connecté au net en permanence, et mon serveur tourne la plupart du temps en loggant toutes les requêtes qui arrivent.
 
Comme personne ne connait mon IP qui est dynamique, personne n'est censé se connecter chez moi à part moi même.
 
et pourtant:
Request: GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
Connected: IPledn-wdz-15b5.adsl.wanadoo.nl/212.129.149.181
Request: GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
Connected: IPledn-wdz-15b5.adsl.wanadoo.nl/212.129.149.181
Request: GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
Request: /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
Connected: IPledn-wdz-15b5.adsl.wanadoo.nl/212.129.149.181
Request: GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
Connected: IPledn-wdz-15b5.adsl.wanadoo.nl/212.129.149.181
 
... et ça continue sur des pages et des pages ...
 
amusant non ?
 
Apparemment y a un petit gars abonné chez mamadou.nl qui tente de lire mon disque!!!
 
En tout cas je suis bien content de ne pas avoir un vieil IIS tout troué qui tourne sur ma machine!!!
 
Et ce cirque a duré toute la soirée avec des tas d'adresses différentes de celle de cet exemple.
Je ne croyais pas qu'on était si menacé!
 
ch'Krosso

Reply

Marsh Posté le 27-12-2001 à 01:38:00   

Reply

Marsh Posté le 27-12-2001 à 01:40:14    

Fichtre, sont féroces ces néerlandais :lol:


---------------
"The marketing guys said the HP-35 would be a failure because it was too small, and then we couldn't make them fast enough to meet the demand. The marketing folks don't know everything." - Bill Hewlett
Reply

Marsh Posté le 27-12-2001 à 02:10:43    

virus nimda tout craché
 
Ce sont des serveurs IIS infectés qui t'attaquent à l'insu du plein gré de l'admin
 
Jet

Reply

Marsh Posté le 27-12-2001 à 02:12:12    

Mail à abuse@wanadoo.nl
 
Si tout le monde faisait ça dès qu'une attaque arrivait, les providers nous paieraient pour installer des anti-virus. Montre l'exemple !


---------------
"The marketing guys said the HP-35 would be a failure because it was too small, and then we couldn't make them fast enough to meet the demand. The marketing folks don't know everything." - Bill Hewlett
Reply

Marsh Posté le 27-12-2001 à 02:17:02    

Jet a écrit a écrit :

virus nimda tout craché




Oui ça y ressemble.
Ma première réaction a été de vérifier mes PC, mais RAS.
Bon, je n'ai qu'un seul port ouvert sur une seule machine et sur ce port c'est mon serveur http à moi que j'ai.
Alors je pense ne pas risquer grand'chose.
Mais c'est surprenant quand même.

Reply

Marsh Posté le 27-12-2001 à 02:17:59    

YupYup a écrit a écrit :

Mail à abuse@wanadoo.nl
Si tout le monde faisait ça dès qu'une attaque arrivait, les providers nous paieraient pour installer des anti-virus. Montre l'exemple !  




Oui... pourquoi pas. C'est sans doute un copup d'épée dans l'eau... mais...allez hop! C'est parti.

Reply

Marsh Posté le 27-12-2001 à 02:19:27    

krosso a écrit a écrit :

 
Oui... pourquoi pas. C'est sans doute un copup d'épée dans l'eau... mais...allez hop! C'est parti.  



Ce n'en sera pas un si tout le monde se passe le mot et qu'on commence à bien flooder les différents ISPs mondiaux. Et, en toute honnêteté, flooder Wanadoo, moi j'aime bien :D


---------------
"The marketing guys said the HP-35 would be a failure because it was too small, and then we couldn't make them fast enough to meet the demand. The marketing folks don't know everything." - Bill Hewlett
Reply

Marsh Posté le 27-12-2001 à 02:34:37    

krosso a écrit a écrit :

 
Oui ça y ressemble.
Ma première réaction a été de vérifier mes PC, mais RAS.
Bon, je n'ai qu'un seul port ouvert sur une seule machine et sur ce port c'est mon serveur http à moi que j'ai.
Alors je pense ne pas risquer grand'chose.
Mais c'est surprenant quand même.  




 
Ton PC n'a rien, même un serveur apache sur un *nix recevrait les mêmes requêtes.
 
Nimda, comme bcp d'autres, scannent en permanence des plages d'ip pour trouver de nouvelles victimes
 
Jet

Reply

Marsh Posté le 27-12-2001 à 02:36:32    

YupYup a écrit a écrit :

Mail à abuse@wanadoo.nl
 
Si tout le monde faisait ça dès qu'une attaque arrivait, les providers nous paieraient pour installer des anti-virus. Montre l'exemple !  




 
ça ne sert stictement à rien, le serveur qui te scanne et qui essaie de t'infecter est une victime comme tant d'autres.
 
le mieux est, lorsque le serveur possède un serveur web actif, de prévenir l'admin.
 
Jet

Reply

Marsh Posté le 27-12-2001 à 02:46:43    

Jet a écrit a écrit :

 
ça ne sert stictement à rien, le serveur qui te scanne et qui essaie de t'infecter est une victime comme tant d'autres.
 
le mieux est, lorsque le serveur possède un serveur web actif, de prévenir l'admin.



Je ne vois pas en quoi le fait de prévenir l'admin est plus intelligent que le fait de prévenir l'ISP. Si les ISPs informaient correctement leurs abonnés sur les risques liés aux programmes de mails non-sécurisés, on se ferait beaucoup moins emmerder par les attaques.
 
Chez moi, les attaques représentent 0.3% du traffic réseau. Soit 0.1% de plus que les pings. Tu trouves ça normal ?
 
Alors une fois pour toutes, cessez d'utiliser des logiciels non-sécurisés. Que ça vous explose votre système, on s'en fout royalement, mais ça emmerde les autres quand votre système renvoie ses merdes sur tout le réseau.
 
On essaie de prévenir les gens, "oui mais Outlook cai mieux cai plus joli y'a des fleurs partout". Bon, ben assumez. Dès qu'une attaque arrive sur ma box, un mail est envoyé à abuse@provider.tld, avec les logs. C'est automatisé, c'est systématique, et si tout le monde faisait ça, Internet perdrait 0.3% de sa charge réseau, ce qui est énorme.


---------------
"The marketing guys said the HP-35 would be a failure because it was too small, and then we couldn't make them fast enough to meet the demand. The marketing folks don't know everything." - Bill Hewlett
Reply

Marsh Posté le 27-12-2001 à 02:46:43   

Reply

Marsh Posté le 27-12-2001 à 06:21:36    

YupYup a écrit a écrit :

Je ne vois pas en quoi le fait de prévenir l'admin est plus intelligent que le fait de prévenir l'ISP. Si les ISPs informaient correctement leurs abonnés sur les risques liés aux programmes de mails non-sécurisés, on se ferait beaucoup moins emmerder par les attaques.
 
Chez moi, les attaques représentent 0.3% du traffic réseau. Soit 0.1% de plus que les pings. Tu trouves ça normal ?
 
Alors une fois pour toutes, cessez d'utiliser des logiciels non-sécurisés. Que ça vous explose votre système, on s'en fout royalement, mais ça emmerde les autres quand votre système renvoie ses merdes sur tout le réseau.
 
On essaie de prévenir les gens, "oui mais Outlook cai mieux cai plus joli y'a des fleurs partout". Bon, ben assumez. Dès qu'une attaque arrive sur ma box, un mail est envoyé à abuse@provider.tld, avec les logs. C'est automatisé, c'est systématique, et si tout le monde faisait ça, Internet perdrait 0.3% de sa charge réseau, ce qui est énorme.  




 
ok mais c'est comme pisser dans un violon, tes 3% vont passer allègrement à 5% d'ici 1 an ou deux.
 
Bon courage.
(surtout qu'il n'y a aucune suite pour ce genres de plaintes)
 
Jet

Reply

Marsh Posté le 27-12-2001 à 06:23:57    

Jet a écrit a écrit :

 
ok mais c'est comme pisser dans un violon, tes 3% vont passer allègrement à 5% d'ici 1 an ou deux.



0.3%
 

Jet a écrit a écrit :

 
Bon courage.
(surtout qu'il n'y a aucune suite pour ce genres de plaintes)



Ayant bossé chez un ISP, je peux t'assurer du contraire, et même te dire que souvent, c'est un mec très haut placé (niveau technique) qui gère ce type de services.


---------------
"The marketing guys said the HP-35 would be a failure because it was too small, and then we couldn't make them fast enough to meet the demand. The marketing folks don't know everything." - Bill Hewlett
Reply

Marsh Posté le 27-12-2001 à 06:37:11    

YupYup a écrit a écrit :

Ayant bossé chez un ISP, je peux t'assurer du contraire, et même te dire que souvent, c'est un mec très haut placé (niveau technique) qui gère ce type de services.  




 
Oui excuse pour le labsus des 0.3 %
 
Et on fait quoi quand il y a x plaintes contre la même ip et que c'est reconnu que ce n'est pas intentionnel comme code red, nimda et consoeurs ?
 
On coupe l'abonnement aussi sec, même s'il s'agit d'un gros client (société) ou on apelle pour prévenir ?
 
Tu vois surement ou je veux en venir, non ? ;)
 
Jet

Reply

Marsh Posté le 27-12-2001 à 08:45:56    

Jet a écrit a écrit :

 
Ton PC n'a rien, même un serveur apache sur un *nix recevrait les mêmes requêtes.




Les requêtes pouvaient très bien provenir d'un autre de mes PC. Les adresses des premières n'étaient pas aussi lisibles que wanadoo.nl et j'ai déjà été infecté par nimda sur mon PC professionnel, ce qui a entraîné un "ghostage" de la partoche système du pc infecté (grmmmbl).  
De plus dire que mon PC n'a rien, je ne vois pas comment tu peux le savoir. Si j'avais eu un IIS non patché(comme au boulot, pas d'bol), ce bidule aurait tout a fait réussi à s'introduire sur ma bécane, se recopier et continuer ses bétises à partir de chez moi!

Reply

Marsh Posté le 27-12-2001 à 13:24:24    

Et ça continue encore et encore...
Des milliers de requêtes http foireuses continuent d'arriver.
C'est dingue!  
 
Sortez couverts! N'installez pas IIS!

Reply

Marsh Posté le 27-12-2001 à 14:42:52    

krosso a écrit a écrit :

 
Les requêtes pouvaient très bien provenir d'un autre de mes PC. Les adresses des premières n'étaient pas aussi lisibles que wanadoo.nl et j'ai déjà été infecté par nimda sur mon PC professionnel, ce qui a entraîné un "ghostage" de la partoche système du pc infecté (grmmmbl).  
De plus dire que mon PC n'a rien, je ne vois pas comment tu peux le savoir. Si j'avais eu un IIS non patché(comme au boulot, pas d'bol), ce bidule aurait tout a fait réussi à s'introduire sur ma bécane, se recopier et continuer ses bétises à partir de chez moi!  




 
Je vois que tu n'a pas installé IIS et que tu subis des scanns réguliers (comme tout le monde) tu es dans une situation classique et crier au loup n'y changera rien.
 
Jet

Reply

Marsh Posté le 27-12-2001 à 14:44:53    

krosso a écrit a écrit :

Et ça continue encore et encore...
Des milliers de requêtes http foireuses continuent d'arriver.
C'est dingue!  
 
Sortez couverts! N'installez pas IIS!  




 
ça doit faire 6 mois que ça dure, les admins compétents ont fait leurs boulots, les autres ne savent pas ce que sont nimda et red code.
 
Au fait les requètes ne sont pas foireuses, elles exploitent des failles connues IIS.
 
Jet

Reply

Marsh Posté le 27-12-2001 à 16:32:53    

Jet a écrit a écrit :

 
Au fait les requètes ne sont pas foireuses, elles exploitent des failles connues IIS.  




Je sais bien.
Foireuses au sens où elles sentent mauvais, au sens où elles viennent d'un enfoiré, au sens où si elles réussissaient ce qu'elles essayent, ça ferait tout foirer.
ça va là, c'est clair ?
 

Jet a écrit a écrit :

 
... et crier au loup n'y changera rien.




Bien au contraire:
Ceux qui ne se doutent pas à quel point on est suscpetible de se faire au pire infecter au mieux lire son hd, régiront peut-être ne téléchargeant le dernier patch pour IE6 ou IIS5 ou mettront à jour leur av.

Reply

Marsh Posté le 27-12-2001 à 18:57:17    

krosso a écrit a écrit :

 
Bien au contraire:
Ceux qui ne se doutent pas à quel point on est suscpetible de se faire au pire infecter au mieux lire son hd, régiront peut-être ne téléchargeant le dernier patch pour IE6 ou IIS5 ou mettront à jour leur av.  




 
Pas le temps, pas l'argent, pas l'envie...
 
Bref tu prêches un converti mais la bétise humaine est sans limite.
 
C'est comme donner une Porshe à quelqu'un qui n'a pas le permis.
 
C'est ce qu'on voit avec tous ces serveurs IIS infectés dont les propriétaires ont installé un windows 2000 server en ne sachant pas qu'il compartait un serveur web actif par défaut.
 
Jet

 

[edtdd]--Message édité par Jet--[/edtdd]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed