[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Nimba !!!



j ai mis sur mon httpd.conf d apache ( 1.3.20 , redhat )

    SetEnvIf Request_URI "\c+dir$" dontlog
    ErrorLog logs/bequa-error_log
    CustomLog logs/bequa-access_log combined env=!dontlog

pour eviter les logs de ces conneries mais ca ne marche pas a chauqe fois 
!
les logs ressemble a ceci
212.116.171.222 - - [20/Sep/2001:11:30:25 +0200] "GET 
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 346 "-" "-"   
lorsque je me connecte sur mon serveur web par mon browser avec une url 
pareille , elle n est pas logguer ! cool , mais lorsque ce st un serveur web 
infecté qui se connecte sur mon apache , c est loggué !

pourquoi ? et comment eviter ca ?
 
une idee ??

hatim






Le Mercredi 19 Septembre 2001 22:42, vous avez écrit :
> salut pic
> as-tu patcher ta machine nt pour le serveur IIS, un nouveau ver attaque
> !!
> regarde dans les fichiers de log
>
> daniel
>
> Dominique Gallot wrote:
> > Voici ma page de statistique des attaques IIS
> > Nimba http://www.dgconsulting.be/Nimda.html Cool non ? Il autre D'ou
> > j'ai eu l'idéehttp://www.cla.sh  plus de 15000 scan depuis 15h00
> > hier  Dominique Gallot Mon Script pour ceux qui veulent . #!/bin/sh
> > export PATH=$PATH:/usr/local/bin:/usr/bin
> > cd /var/log/httpd
> > grep scripts www.domain.com.access.log | cut -f1 -d " "| sort | uniq >
> > list.lst
> > COUNT=`grep scripts www.domain.com.access.log | wc -l` echo "<html>"
> > echo "<head>"
> > echo "<title>Honeyed Nimda Scans `date /%Y-%m-%d`</title>"
> > echo "<center><br><h1>Honeyed Nimda Scans `date /%Y-%m-%d` </h1>"
> > echo "<br><h3>Updated each 30 min</h3>"
> > echo "<br><h3> $COUNT scan detected</h3>"
> > echo "<pre>" {
> >   while read ligne; do
> >   echo "<a href='http://$ligne'>$ligne ( `resolveip -s $ligne` )</a>"
> >   done
> > } < list.lst
> > echo "</pre>"a lancer avec 2>/dev/null pour le resolveip
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
> [ http://unixtech.be              Contact: listmaster@unixtech.be  ]

----------------------------------------
Content-Type: text/html; charset="us-ascii"; name="Pièces jointes : 1"
Content-Transfer-Encoding: 7bit
Content-Description: 
----------------------------------------

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]