[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Nimba !!!
Je n'ai pas encore la certitude que ca fonctionne mais jette un oeil sur
http://linuxbe.org j'ai posté une news à ce sujet
@+
Laurent
En réponse à hatim <hatnet@free.fr>:
> j ai mis sur mon httpd.conf d apache ( 1.3.20 , redhat )
>
> SetEnvIf Request_URI "\c+dir$" dontlog
> ErrorLog logs/bequa-error_log
> CustomLog logs/bequa-access_log combined env=!dontlog
>
> pour eviter les logs de ces conneries mais ca ne marche pas a chauqe
> fois
> !
> les logs ressemble a ceci
> 212.116.171.222 - - [20/Sep/2001:11:30:25 +0200] "GET
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 346 "-"
> "-"
> lorsque je me connecte sur mon serveur web par mon browser avec une url
>
> pareille , elle n est pas logguer ! cool , mais lorsque ce st un serveur
> web
> infecté qui se connecte sur mon apache , c est loggué !
>
> pourquoi ? et comment eviter ca ?
>
> une idee ??
>
> hatim
>
>
>
>
>
>
> Le Mercredi 19 Septembre 2001 22:42, vous avez écrit :
> > salut pic
> > as-tu patcher ta machine nt pour le serveur IIS, un nouveau ver
> attaque
> > !!
> > regarde dans les fichiers de log
> >
> > daniel
> >
> > Dominique Gallot wrote:
> > > Voici ma page de statistique des attaques IIS
> > > Nimba http://www.dgconsulting.be/Nimda.html Cool non ? Il autre
> D'ou
> > > j'ai eu l'idéehttp://www.cla.sh plus de 15000 scan depuis 15h00
> > > hier Dominique Gallot Mon Script pour ceux qui veulent .
> #!/bin/sh
> > > export PATH=$PATH:/usr/local/bin:/usr/bin
> > > cd /var/log/httpd
> > > grep scripts www.domain.com.access.log | cut -f1 -d " "| sort | uniq
> >
> > > list.lst
> > > COUNT=`grep scripts www.domain.com.access.log | wc -l` echo
> "<html>"
> > > echo "<head>"
> > > echo "<title>Honeyed Nimda Scans `date /%Y-%m-%d`</title>"
> > > echo "<center><br><h1>Honeyed Nimda Scans `date /%Y-%m-%d` </h1>"
> > > echo "<br><h3>Updated each 30 min</h3>"
> > > echo "<br><h3> $COUNT scan detected</h3>"
> > > echo "<pre>" {
> > > while read ligne; do
> > > echo "<a href='http://$ligne'>$ligne ( `resolveip -s $ligne`
> )</a>"
> > > done
> > > } < list.lst
> > > echo "</pre>"a lancer avec 2>/dev/null pour le resolveip
> >
> > [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> > [ le type de demande... ]
> > [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> > [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> > [ http://unixtech.be Contact: listmaster@unixtech.be ]
>
> ----------------------------------------
> Content-Type: text/html; charset="us-ascii"; name="Pièces jointes : 1"
> Content-Transfer-Encoding: 7bit
> Content-Description:
> ----------------------------------------
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> [ http://unixtech.be Contact: listmaster@unixtech.be ]
>
________________________________________________________________________________
« Le cycle d'obsolescence des ordinateurs est devenu si rapide, que dans les
hypermarchés informatiques du futur, il y aura des décharges juste en face des
caisses enregistreuses. »
Dave Barry
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]