Log bizarre

Vous voulez configurer un réseau derrière un routeur, vous voulez protéger votre serveur des attaques ? C'est ici qu'on en parle.

Modérateur : Modérateurs

Avatar de l’utilisateur
darkreal
Membre
Membre
Messages : 49
Inscription : sam. 25 févr. 2006, 17:55
Contact :

Log bizarre

Messagepar darkreal » ven. 09 févr. 2007, 12:56

125.250.166.124 - - [08/Feb/2007:17:18:52 +0100] "GET / HTTP/1.0 " 200 936
125.250.166.124 - - [08/Feb/2007:17:18:52 +0100] "GET /NULL.IDA?CCCCCCCCu0aeb%ub890%u77ee%u0000%u0000%u838b%u09\x99e\xaaP(\xb9)\xbdk7_\xdef\x9\xc7cmd.exe$ HTTP/1.1" 404 206
C'est ce que j'ai trouvé dans le log de mon serveur...
Apparemment l'IP correspond à un site chinoi ou japonai.

Que faut-il comprendre ?
Merci. :)

Evolution
Conseiller
Conseiller
Messages : 3032
Inscription : lun. 05 janv. 2004, 18:56
Localisation : Lyon

Messagepar Evolution » ven. 09 févr. 2007, 13:03

Une tentative hack ;)

Mais on voit qu'Apache a renvoyé le code 404 = la page n'existe pas, donc tout va bien
ça aurait été inquiétant s'il avait répondu avec le code 200

Avatar de l’utilisateur
darkreal
Membre
Membre
Messages : 49
Inscription : sam. 25 févr. 2006, 17:55
Contact :

Messagepar darkreal » ven. 09 févr. 2007, 18:39

Oula...
Plusieurs questions...

1) Baleze pour trouver mon server le hacker, j'ai filé l'IP à personne... Scan d'IPs peut être ?
2)Pourquoi essait-il de recuperer un fichier nommé NULL.IDA ?
3)Mais que signifies toutes ces chaines de caractères ???
4)xc7cmd.exe$ = ??? cmd.exe :?
5) J'avais juste un firewall configuré de base et j'ai réussi à le stopper ? suis baleze aussi moi :P
6)Quel technique a t-il employé ? Comment faisait-il ?
7) Aurait-il piraté seulement les fichiers partagés de mon server, tout le repertoire et la configuration d'apache ? Ou tout l'ordinateur ???
8)Je supposes qu'il a utilisé un proxy pour m'atteindre... ?

Merci de rep à ttes ces questions !!! ;)

Evolution
Conseiller
Conseiller
Messages : 3032
Inscription : lun. 05 janv. 2004, 18:56
Localisation : Lyon

Messagepar Evolution » ven. 09 févr. 2007, 18:59

je répète : c'est une simple tentative, totalement échouée d'ailleurs :P

c'est sûrement un robot qui scanne l'internet pour trouver les serveurs web pas à jour

Avatar de l’utilisateur
darkreal
Membre
Membre
Messages : 49
Inscription : sam. 25 févr. 2006, 17:55
Contact :

Messagepar darkreal » ven. 09 févr. 2007, 21:46

Oui oui, j'avias compris que c'était une tentative ;)
Mais j'aimerais savoir tout de même ce que je t'ai demandé... Si possible...

Merciiiii.....

Evolution
Conseiller
Conseiller
Messages : 3032
Inscription : lun. 05 janv. 2004, 18:56
Localisation : Lyon

Messagepar Evolution » sam. 10 févr. 2007, 6:03

ce n'est pas le firewall qui a bloqué l'attaque, mais apache tout seul ;)

Il a tenté en effet de lance l'interpréteur de commandes (cmd.exe)
Il aurait pu ainsi accéder à tout l'ordinateur

PS : pour ça qu'il faut pas lancer Apache en tant que SYSTEM d'ailleurs, pas + qu'il faut le lancer en root sous linux

Avatar de l’utilisateur
The BLION Corp.
Membre avancé
Membre avancé
Messages : 51
Inscription : mer. 02 juin 2004, 9:44
Localisation : Lyon, France
Contact :

Messagepar The BLION Corp. » lun. 12 mars 2007, 7:43

darkreal a écrit :1) Baleze pour trouver mon server le hacker, j'ai filé l'IP à personne... Scan d'IPs peut être ?

Oui ! C'est pour ça qu'il vaut mieux éviter de faire quoi que ce soit sur Internet sans protection... de nombreux robots sont là pour scanner tout ce qu'il leur passe sous le nez !

darkreal a écrit :2)Pourquoi essait-il de recuperer un fichier nommé NULL.IDA ?
Par quels outils sont utilisés les fichiers .IDA ?
darkreal a écrit :3)Mais que signifies toutes ces chaines de caractères ???
BOF
darkreal a écrit :4)xc7cmd.exe$ = ??? cmd.exe :?
Yep
darkreal a écrit :5) J'avais juste un firewall configuré de base et j'ai réussi à le stopper ? suis baleze aussi moi :P
Tu n'as rien réussi du tout.
darkreal a écrit :6)Quel technique a t-il employé ? Comment faisait-il ?
Il a envoyé la requête telle que tu la lis.
darkreal a écrit :7) Aurait-il piraté seulement les fichiers partagés de mon server, tout le repertoire et la configuration d'apache ? Ou tout l'ordinateur ???
Il n'a fait que dépenser un peu de bande passante pour les deux parties, surtout si tu lui as répondu un 404 personnalisé. Avec un peu de travail dans le httpd.conf, tu peux lui répondre... RIEN ! et un code 403...
darkreal a écrit :8)Je supposes qu'il a utilisé un proxy pour m'atteindre... ?
A toi de le deviner... Pas nécessairement. Connaissant ce genre de scripts, il est plus probable qu'il soit parti d'un serveur contaminé...

Peux-tu éditer ton message pour tronquer la ligne de log ?
Ca en devient pénible...

Evolution
Conseiller
Conseiller
Messages : 3032
Inscription : lun. 05 janv. 2004, 18:56
Localisation : Lyon

Messagepar Evolution » lun. 12 mars 2007, 8:18

c'est édité ;)


Revenir vers « Routeurs et firewalls »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités