Qu'est-ce que c'est que ça ??

Bluenotee · 17/10/2005 16:40:42

Bonjour !

J'héberge un site web et récemment j'ai trouvé ceci dans /var/log/apache/access.log :

212.195.15.251 - - [17/Oct/2005:14:30:49 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 328 "-" "-" "-"
212.195.15.251 - - [17/Oct/2005:14:30:49 +0200] "SEARCH /x90x04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04H
x04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04H
x04Hx04Hx04Hx04Hx04Hx04Hx04Hx04H...
x90x90x90x90x90x90x90x90x90x90x90x90x90" 414 333 "-" "-" "-"

(Il ya une centaine de ligne en fait)

Dans /var/log/apache/error.log, j'ai :

[Mon Oct 17 14:30:49 2005] [error] [client 212.195.15.251] File does not exist: /var/www/_vti_bin/_vti_aut/fp30reg.dll
[Mon Oct 17 14:30:49 2005] [error] [client 212.195.15.251] request failed: URI too long

Enfin dans /var/log/snort/alert (si vous connaissez), il est écrit :

[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]
10/17-14:30:48.966993 212.195.15.251:1936 -> [mon_IP_local]:[port http]
TCP TTL:116 TOS:0x0 ID:55886 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0xFD2BEFA3  Ack: 0x6E93054A  Win: 0xFAF0  TcpLen: 20
[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]
10/17-14:30:49.111271 212.195.15.251:1937 ->  [mon_IP_local]:[port http]
TCP TTL:116 TOS:0x0 ID:55895 IpLen:20 DgmLen:233 DF
***AP*** Seq: 0xFD2CFCF9  Ack: 0x6F2145AC  Win: 0xFAF0  TcpLen: 20

Quelqu'un a une idée là-dessus ? Merci :?

ioguix · 17/10/2005 20:47:55

Salut,

Ben écoute à vue de nez, je dirais que ça peu ressembler à une attaque par depassement de buffer qui doit viser une faille d'un serveur http quelconque (IIs, apache, ...)

Seulement, comme ton serveur ne tourne pas sous windows (n'est ce pas ?) ben tu crain rien de cette attaque là qui semble rechercher un dll ...

Enfin, je dis ça, je ne suis pas expert non plus hein

++

Korova · 17/10/2005 22:21:41

J'ai déjà vu ce genre d'attaque sur le serveur qui héberge le site web de mon lycée (du apache chrooté tournant sous OBSD), sans y connaître grand chose, je sais juste que ça fait beaucoup rigoler mon admin réseau... (je suis plutôt d'accord avec l'analyse de ioguix quoi...)

Korova qui n'a jamais eu à subir ça sur son petit apache de sa maison

Bluenotee · 17/10/2005 22:55:54

Merci pour vos réponses !

Oui j'ai tiqué sur l'instruction SEARCH et le "aut" dans le fichier recherché...

.dll à priori oui c'est du windows. Mon serveur tourne sous Debian mais je vais garder un oeil sur mes logs...

OcamlScheme · 18/10/2005 19:21:08

Au moins ça change du classique "get ....systemwin32xxxxx.dll"

OS qui vois bien aussi une petite tentative de dépassement de buffer ...

ustilago · 18/10/2005 22:42:51

J'ai déjà vu ce genre d'attaque sur le serveur qui héberge le site web de mon lycée (du apache chrooté tournant sous OBSD), sans y connaître grand chose, je sais juste que ça fait beaucoup rigoler mon admin réseau... (je suis plutôt d'accord avec l'analyse de ioguix quoi...)

Un nouvel OS ??

Vivement les vacances ... moi c'est 4 jours à partir de jeudi, je réceptionne entre autre ma cuisinière Muffin's party ce we !!! Avis aux amateurs :twisted:

Usti

Korova · 18/10/2005 23:41:40

OBSD = OpenBSD

Korova avec les sous-titres

Andesi - forum

#1 17/10/2005 16:40:42

Qu'est-ce que c'est que ça ??

#2 17/10/2005 20:47:55

Re : Qu'est-ce que c'est que ça ??

#3 17/10/2005 22:21:41

Re : Qu'est-ce que c'est que ça ??

#4 17/10/2005 22:55:54

Re : Qu'est-ce que c'est que ça ??

#5 18/10/2005 19:21:08

Re : Qu'est-ce que c'est que ça ??

#6 18/10/2005 22:42:51

Re : Qu'est-ce que c'est que ça ??

#7 18/10/2005 23:41:40

Re : Qu'est-ce que c'est que ça ??

Pied de page des forums