[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Nimba !!!
J'ai plus ou moins depuis hier 15:50, près de 50 requête par minute venant
de machines infectées. Ce qui me semble dingue, c'est peu ou pas de
personnes administrateurs NT/IIS ne lisent les logs du IIS.
De plus, il semble que bcp de machine ne sont pas encore patchées pour des
bugs connus depuis plus de 6 mois.
Il me semble que les administrateurs NT/IIS infectés ne se préoccupent de
rien et s'en foute... Par exemple, j'ai modifié le mod_perl Apache-CoreRed
pour ajouter root.exe/cmd.exe et envoyer un mail (si il trouve un MX
valide) au postmaster du domaine.
J'ai eu une réponse d'un gars qui est l'administrateur d'une machine en
Belgique, qui m'a engeulé car je lui ai envoyé 1 mail automatique pour le
prévenir. (dans Apache-Codered, il y a cache avec les IP déjà contactées)
Je crois que le civisme n'est pas très courant au monde WIN32....ni
l'application des patches et autres correctifs de façon régulière.
Alx
--
---
Alexandre Dulaunoy
Work : http://www.conostix.com/ adulau@conostix.com
Private : http://www.thinkingsecure.com/ adulau@thinkingsecure.com
"Liberty is the great parent of science and of virtue; and a nation will
be great in both in proportion as it is free. " T. Jefferson
On Wed, 19 Sep 2001, Dominique Gallot wrote:
> Voici ma page de statistique des attaques IIS Nimba
>
> http://www.dgconsulting.be/Nimda.html
>
> Cool non ?
>
> Il autre D'ou j'ai eu l'idée
> http://www.cla.sh
>
>
> plus de 15000 scan depuis 15h00 hier
>
>
> Dominique Gallot
>
> Mon Script pour ceux qui veulent .
>
> #!/bin/sh
> export PATH=$PATH:/usr/local/bin:/usr/bin
> cd /var/log/httpd
> grep scripts www.domain.com.access.log | cut -f1 -d " "| sort | uniq > list.lst
> COUNT=`grep scripts www.domain.com.access.log | wc -l`
>
> echo "<html>"
> echo "<head>"
> echo "<title>Honeyed Nimda Scans `date /%Y-%m-%d`</title>"
> echo "<center><br><h1>Honeyed Nimda Scans `date /%Y-%m-%d` </h1>"
> echo "<br><h3>Updated each 30 min</h3>"
> echo "<br><h3> $COUNT scan detected</h3>"
> echo "<pre>"
>
> {
> while read ligne; do
> echo "<a href='http://$ligne'>$ligne ( `resolveip -s $ligne` )</a>"
> done
> } < list.lst
> echo "</pre>"
>
> a lancer avec 2>/dev/null pour le resolveip
>
>
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> [ http://unixtech.be Contact: listmaster@unixtech.be ]
>
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]