[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Nimba !!!
> J'ai plus ou moins depuis hier 15:50, près de 50 requête par minute venant
> de machines infectées. Ce qui me semble dingue, c'est peu ou pas de
> personnes administrateurs NT/IIS ne lisent les logs du IIS.
Moi, ce qui me semble dingue c'est que IIS installe par default les
extensions Frontpage.
Que lorsque que l'on les deinstalle, le repertoire scripts reste. Et que
grace à cela il est encore possible d'attaqué la machine.
Ce qui est plus dingue, c'est que lorsque Microsoft implemente un securité,
il filtre le "\", le %2F, mais pas le %252F !!
Je ne voudrait pas voir le code de IIS. Il serait temps de ne plus mettre
les permissions par default de nt sur le system NTFS sur "everyone Full
access".
>
> Il me semble que les administrateurs NT/IIS infectés ne se préoccupent de
> rien et s'en foute... Par exemple, j'ai modifié le mod_perl Apache-CoreRed
> pour ajouter root.exe/cmd.exe et envoyer un mail (si il trouve un MX
> valide) au postmaster du domaine.
>
> J'ai eu une réponse d'un gars qui est l'administrateur d'une machine en
> Belgique, qui m'a engeulé car je lui ai envoyé 1 mail automatique pour le
> prévenir. (dans Apache-Codered, il y a cache avec les IP déjà contactées)
Moi je trouve cela bien !
>
> Je crois que le civisme n'est pas très courant au monde WIN32....ni
> l'application des patches et autres correctifs de façon régulière.
Ils en ont tellement à faire, ca prend du temps de rebooter 40 serveurs par
jours !
> Alx
>
>
>
> --
> ---
> Alexandre Dulaunoy
> Work : http://www.conostix.com/ adulau@conostix.com
> Private : http://www.thinkingsecure.com/ adulau@thinkingsecure.com
>
> "Liberty is the great parent of science and of virtue; and a nation will
> be great in both in proportion as it is free. " T. Jefferson
>
>
>
> On Wed, 19 Sep 2001, Dominique Gallot wrote:
>
> > Voici ma page de statistique des attaques IIS Nimba
> >
> > http://www.dgconsulting.be/Nimda.html
> >
> > Cool non ?
> >
> > Il autre D'ou j'ai eu l'idée
> > http://www.cla.sh
> >
> >
> > plus de 15000 scan depuis 15h00 hier
> >
> >
> > Dominique Gallot
> >
> > Mon Script pour ceux qui veulent .
> >
> > #!/bin/sh
> > export PATH=$PATH:/usr/local/bin:/usr/bin
> > cd /var/log/httpd
> > grep scripts www.domain.com.access.log | cut -f1 -d " "| sort | uniq >
list.lst
> > COUNT=`grep scripts www.domain.com.access.log | wc -l`
> >
> > echo "<html>"
> > echo "<head>"
> > echo "<title>Honeyed Nimda Scans `date /%Y-%m-%d`</title>"
> > echo "<center><br><h1>Honeyed Nimda Scans `date /%Y-%m-%d` </h1>"
> > echo "<br><h3>Updated each 30 min</h3>"
> > echo "<br><h3> $COUNT scan detected</h3>"
> > echo "<pre>"
> >
> > {
> > while read ligne; do
> > echo "<a href='http://$ligne'>$ligne ( `resolveip -s $ligne` )</a>"
> > done
> > } < list.lst
> > echo "</pre>"
> >
> > a lancer avec 2>/dev/null pour le resolveip
> >
> >
> >
> > [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> > [ le type de demande... ]
> > [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> > [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> > [ http://unixtech.be Contact: listmaster@unixtech.be ]
> >
>
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> [ http://unixtech.be Contact: listmaster@unixtech.be ]
>
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]