En ce moment en plus des milliers de nimda qui hantent mes logs http;
je vois de plus en plus de tentatives de connexions d'utilisateurs via FTP ...
 
et hier j'ai vu le message suivant:
ça ressemble pas à une technique de buffer overflow ? (j'y connais pas grand chose sonc soyez indulgent si je dis des conneries)
 

 
ensuite il semble que le serveur ait été deconnecté, car j'ai vu dans les logs que mon frère a du le reconnecter manuellement (normalement il se reconnecte tout seul avec persist)
 
A+
 
Merci

comme je ne me sert pas de NFS je peux desctiver statd?
ça n'interferera pas avec d'autres services ?
 
sinon j'ai trouvé le truc suivant: http://www.cert.org/advisories/CA-2000-17.html
 
c'est relou putain; on peu savoir l'IP qui a tenté de faire ça ?

?

pouet

Désolé, je ne peux pas te venir en aide, mais je peux apporter mon petit up.
 

moi je me tape des attaques du genre là en plus de celles de nimbda sur mon serveur apache :
 
[IP MASQUEE] - - [19/May/2002:19:10:12 +0200] "HEAD%00 /%20HTTP/1.0%0D%0A%0D%0AAccept%3A%20kgehhegqjaf/../../index.html%3foawylnciqrxakmvsav=/..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.././ HTTP/1.0" 501 707
 
ça c'est une ligne seulement, il y en a une quinzaine comme celle-ci à suivre, et c'est répété plusieurs fois dans le fichier de log
 
étrange aussi  
 
 

ah ben d'accord ...
moi j'y connais que dalle, c'est la premiere fois que je mets le nez dans mes logs
vous pouvez me dire vite fait ce que c'est que tout ça :
 

c'est le virus (vers) nimda (admin), tu ne risques rien vu que c'est un vers qui s'attaque aux serveurs IIS de M$ non patchés... les tentatives d'attaque que tu as là sont justement des serveurs qui ont été infectés, nimda essaye de se répendre sur d'autres serveurs, à part te remplir tes logs, tu ne risques vraiment rien
 
il faut savoir que nimda s'attaque aux fichiers .exe, .html, .....
 
 

BMOTheKiller a écrit a écrit : c'est le virus (vers) nimda (admin), tu ne risques rien vu que c'est un vers qui s'attaque aux serveurs IIS de M$ non patchés... les tentatives d'attaque que tu as là sont justement des serveurs qui ont été infectés, nimda essaye de se répendre sur d'autres serveurs, à part te remplir tes logs, tu ne risques vraiment rien   il faut savoir que nimda s'attaque aux fichiers .exe, .html, .....

 
   
déconne
à quoi tu l'as reconnu ?
putain c'est efficace pour se rependre ce truc, mon serveur est up depuis une semaine max, et il tourne pas tout le temps en plus
et il fait quoi au serveur IIS au juste ?

il te donne un acces en cmdline ...

ben il exploite une faille des serveurs IIS (non patchés, faut pas l'oublier celui-là) pour infecter les fichiers .exe que tu peux voir dans les tentatives d'attaque : root.exe, cmd.exe, ... bref en infectant ces fichiers, il aura le contrôle de toute la machine, il mutera et modifiera tous les fichiers qu'il connait, il ira aussi squatter ton navigateur espérant ainsi que tu iras consulter des serveurs où il pourra se propager....
 
en fait quand tu visites un serveur infecté, il t'ouvre une toute petite fenêtre dans un coin inacessible de ton bureau (c'est valable pour win seulement il me semble, la petite fenêtre se trouve qq part dans les 6000 et des poussières, bref la résolution de ta carte graphique ne permet même pas d'afficher cette partie du bureau), je ne sais pas trop où ça en est maintenant, mais un moment il était impossible de le supprimer sans que tous les fichiers infectés soient eux aussi supprimés, bref le formatage était la meilleure solution, mais ce petit méchant est bien sûr capable de sauter de partition en partition, donc nettoyage complet , maintenant il doit être possible de le supprimer sans virer les fichiers, mais là je n'en suis pas sûr, il faut regarder sur les sites traitant de ce virus pour plus d'info
 
 

BMOTheKiller a écrit a écrit : ben il exploite une faille des serveurs IIS (non patchés, faut pas l'oublier celui-là) pour infecter les fichiers .exe que tu peux voir dans les tentatives d'attaque : root.exe, cmd.exe, ... bref en infectant ces fichiers, il aura le contrôle de toute la machine, il mutera et modifiera tous les fichiers qu'il connait, il ira aussi squatter ton navigateur espérant ainsi que tu iras consulter des serveurs où il pourra se propager....   en fait quand tu visites un serveur infecté, il t'ouvre une toute petite fenêtre dans un coin inacessible de ton bureau (c'est valable pour win seulement il me semble, la petite fenêtre se trouve qq part dans les 6000 et des poussières, bref la résolution de ta carte graphique ne permet même pas d'afficher cette partie du bureau), je ne sais pas trop où ça en est maintenant, mais un moment il était impossible de le supprimer sans que tous les fichiers infectés soient eux aussi supprimés, bref le formatage était la meilleure solution, mais ce petit méchant est bien sûr capable de sauter de partition en partition, donc nettoyage complet , maintenant il doit être possible de le supprimer sans virer les fichiers, mais là je n'en suis pas sûr, il faut regarder sur les sites traitant de ce virus pour plus d'info

 
   
c'est pas une merde en info celui qu'à pondu ça
j'en ai entendu parler, comme tout le monde, mais je savais pas ce qu'il faisait exactement.
il s'attaque qu'aux serveurs de toute façon ? Il attaque pas tous les PC tournant sous windows ?

ce que je trouve bizarre c'est qu'il est réussi à se propager jusqu'à moi, alors que mon PC est juste un serveur de test et que y-a pas grand monde à en connaitre l'existance
il doit scanner les ports aussi, j'imagine...

ben si dans le cas où tu échanges des fichiers infectés....
 
disons qu'un serveur de téléchargement a été infecté, le vers se propage sur la machine et sur le réseau tant qu'il n'a pas été détecté puis nettoyé, toi tu arrives pour télécharger un fichier sur ce srveur, si ce fichier est infecté, tu as gagné un nouveau compagnon (pour les machines win bien sûr), je ne sais pas ce que donne ce vers en émulation.... quelqu'un a essayé sous vmware ou avec wine ?  
 
 

 
bah il scane les IP je crois.... je pensais résoudre le problème en refusant tous les paquets icmp (pas de ping chez moi), mais non, il ne ping pas, c'est du scan sûrement....
 
 

BMOTheKiller a écrit a écrit : ben si dans le cas où tu échanges des fichiers infectés....   disons qu'un serveur de téléchargement a été infecté, le vers se propage sur la machine et sur le réseau tant qu'il n'a pas été détecté puis nettoyé, toi tu arrives pour télécharger un fichier sur ce srveur, si ce fichier est infecté, tu as gagné un nouveau compagnon (pour les machines win bien sûr), je ne sais pas ce que donne ce vers en émulation.... quelqu'un a essayé sous vmware ou avec wine ?

 
ah bon    
putain faut pas que je traine a faire mes sauvegarde alors
je croyais que ça se propageait que de serveur en serveur ... remarque, je fais toujours gaffe au fichier que j'ouvre et j'imagine que nav doit détecter ça
 
 
sinon, on trouve où les patch pour apache, pour la faille de la semaine derniere ?  

 
Nimda essaie des @IP en randmo et se connecte sur le port 80. Quelque soit le type de serveur en face il tente son exploit !  
Ensuite sur la machine, il partage les disque de la machine en rw et essaie de se connecter à d'autre partage etc.
Il est donc actif coté partage de fichier + serveur web + propagation via un serveur SMTP embarqué.  
 
Ca c'est du code optimisé !

tatanka a écrit a écrit :     ah bon     putain faut pas que je traine a faire mes sauvegarde alors je croyais que ça se propageait que de serveur en serveur ... remarque, je fais toujours gaffe au fichier que j'ouvre et j'imagine que nav doit détecter ça     sinon, on trouve où les patch pour apache, pour la faille de la semaine derniere ?

 
  apache n'est n'est pas basé sur les serveurs IIS buggés  
 
tu risques rien, regarde les réponses du serveur aux tentatives, il répond "404" -> Objet non-trouvé : inexistant sur le serveur
 
si ça répond 200, inquiète-toi
 
 

BMOTheKiller a écrit a écrit :       apache n'est n'est pas basé sur les serveurs IIS buggés     tu risques rien, regarde les réponses du serveur aux tentatives, il répond "404" -> Objet non-trouvé : inexistant sur le serveur   si ça répond 200, inquiète-toi

 
ah ouai mais j'ai mis sinon, c'était pour dire que je changeais de sujet de discussion    
j'ai pas patché mon apache, et il parait que c'est sorti
par contre, je sais pas si c'est vraiment utile
d'après ce que j'ai entendu dire, sous un linux 32bit on ne risque que le DoS ?
bon c'est chiant mais pas méchant donc si c'est que ça, je laisse, c'est pas bien grave.
 
sinon, ça fait quoi quand ça répond 200 ?
y-a un endroit ou je peux voir a quoi corresponde tous les code renvoyer par les serveur web ?

 
dans la config d'apache ou sur google
 
 

moi aussi j'ai des attaques et je ne suis pas souvent up (because aol en rtc)
 
206.154.118.2 - - [28/Jun/2002:21:56:44 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:45 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:46 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:47 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:48 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215
206.154.118.2 - - [28/Jun/2002:21:56:49 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215
206.154.118.2 - - [28/Jun/2002:21:56:51 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
206.154.118.2 - - [28/Jun/2002:21:56:52 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232

et oui c horrible j en ai chopé en 8mois 53mo de log de ca
le truc qui pourri bien koi

 
j'ai pire    
100 Mo de log en 4 mois à cause du LCP !    
quelle saloperie ce truc. Apparemment c'est utilisé par le ppp pour détecter les erreurs, mais je vois pas quelle erreur il peut bien détecter avec ça  
et pis j'ai pas trouvé comment le désactiver  

 
tu peux logger ce genre de requetes dans un fichier à part en modifieant qq lignes dans httpd.conf

j ai entendu dire (plutot vu ecris) mais j ai jamais chercher et jamais vu comment faire  
 
on doit joué sur les customlog ?

un exemple chez moi .  Par contre j'ai pas trouvé la bonne regexp pour les .ida .
 
SetEnvIf Request_URI "\.ida" nolog
SetEnvIf Request_URI "\.exe$" nolog
# SetEnvIf Request_URI "\.(gif|css)$" nolog
CustomLog /web/apache/logs/access_log combined env=!nolog
CustomLog /web/apache/logs/referer_log referer env=!nolog
CustomLog /web/apache/logs/attack.access_log common env=nolog
 
 
nolog est une variable.  C'est pas un prédéfini d'apache

oki thx a toi !!!

si t'as la bonne regexp pour les .ida (nimda V1  si j'ai bien suivi ) je suis preneur

.ida c'est code red je crois et les /script/vt....%250xxx c'est nimda je crois

ben j'ai jamais trouvé la bonne formule pour logger ce truc dans l'autre fichier