[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Nimba !!!



Je n'ai pas encore la certitude que ca fonctionne mais jette un oeil sur 
http://linuxbe.org j'ai posté une news à ce sujet

@+
Laurent

En réponse à hatim <hatnet@free.fr>:

> j ai mis sur mon httpd.conf d apache ( 1.3.20 , redhat )
> 
>     SetEnvIf Request_URI "\c+dir$" dontlog
>     ErrorLog logs/bequa-error_log
>     CustomLog logs/bequa-access_log combined env=!dontlog
> 
> pour eviter les logs de ces conneries mais ca ne marche pas a chauqe
> fois 
> !
> les logs ressemble a ceci
> 212.116.171.222 - - [20/Sep/2001:11:30:25 +0200] "GET 
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 346 "-"
> "-"   
> lorsque je me connecte sur mon serveur web par mon browser avec une url
> 
> pareille , elle n est pas logguer ! cool , mais lorsque ce st un serveur
> web 
> infecté qui se connecte sur mon apache , c est loggué !
> 
> pourquoi ? et comment eviter ca ?
>  
> une idee ??
> 
> hatim
> 
> 
> 
> 
> 
> 
> Le Mercredi 19 Septembre 2001 22:42, vous avez écrit :
> > salut pic
> > as-tu patcher ta machine nt pour le serveur IIS, un nouveau ver
> attaque
> > !!
> > regarde dans les fichiers de log
> >
> > daniel
> >
> > Dominique Gallot wrote:
> > > Voici ma page de statistique des attaques IIS
> > > Nimba http://www.dgconsulting.be/Nimda.html Cool non ? Il autre
> D'ou
> > > j'ai eu l'idéehttp://www.cla.sh  plus de 15000 scan depuis 15h00
> > > hier  Dominique Gallot Mon Script pour ceux qui veulent .
> #!/bin/sh
> > > export PATH=$PATH:/usr/local/bin:/usr/bin
> > > cd /var/log/httpd
> > > grep scripts www.domain.com.access.log | cut -f1 -d " "| sort | uniq
> >
> > > list.lst
> > > COUNT=`grep scripts www.domain.com.access.log | wc -l` echo
> "<html>"
> > > echo "<head>"
> > > echo "<title>Honeyed Nimda Scans `date /%Y-%m-%d`</title>"
> > > echo "<center><br><h1>Honeyed Nimda Scans `date /%Y-%m-%d` </h1>"
> > > echo "<br><h3>Updated each 30 min</h3>"
> > > echo "<br><h3> $COUNT scan detected</h3>"
> > > echo "<pre>" {
> > >   while read ligne; do
> > >   echo "<a href='http://$ligne'>$ligne ( `resolveip -s $ligne`
> )</a>"
> > >   done
> > > } < list.lst
> > > echo "</pre>"a lancer avec 2>/dev/null pour le resolveip
> >
> > [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> > [ le type de demande...                                            ]
> > [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
> > [ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
> > [ http://unixtech.be              Contact: listmaster@unixtech.be  ]
> 
> ----------------------------------------
> Content-Type: text/html; charset="us-ascii"; name="Pièces jointes : 1"
> Content-Transfer-Encoding: 7bit
> Content-Description: 
> ----------------------------------------
> 
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
> [ http://unixtech.be              Contact: listmaster@unixtech.be  ]
> 



________________________________________________________________________________
« Le cycle d'obsolescence des ordinateurs est devenu si rapide, que dans les 
hypermarchés informatiques du futur, il y aura des décharges juste en face des 
caisses enregistreuses. »
Dave Barry

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]