Vous n'êtes pas identifié(e).
Pages : 1
Bonjour !
J'héberge un site web et récemment j'ai trouvé ceci dans /var/log/apache/access.log :
212.195.15.251 - - [17/Oct/2005:14:30:49 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 328 "-" "-" "-"
212.195.15.251 - - [17/Oct/2005:14:30:49 +0200] "SEARCH /x90x04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04H
x04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04Hx04H
x04Hx04Hx04Hx04Hx04Hx04Hx04Hx04H...
x90x90x90x90x90x90x90x90x90x90x90x90x90" 414 333 "-" "-" "-"
(Il ya une centaine de ligne en fait)
Dans /var/log/apache/error.log, j'ai :
[Mon Oct 17 14:30:49 2005] [error] [client 212.195.15.251] File does not exist: /var/www/_vti_bin/_vti_aut/fp30reg.dll
[Mon Oct 17 14:30:49 2005] [error] [client 212.195.15.251] request failed: URI too long
Enfin dans /var/log/snort/alert (si vous connaissez), il est écrit :
[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]
10/17-14:30:48.966993 212.195.15.251:1936 -> [mon_IP_local]:[port http]
TCP TTL:116 TOS:0x0 ID:55886 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0xFD2BEFA3 Ack: 0x6E93054A Win: 0xFAF0 TcpLen: 20
[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]
10/17-14:30:49.111271 212.195.15.251:1937 -> [mon_IP_local]:[port http]
TCP TTL:116 TOS:0x0 ID:55895 IpLen:20 DgmLen:233 DF
***AP*** Seq: 0xFD2CFCF9 Ack: 0x6F2145AC Win: 0xFAF0 TcpLen: 20
Quelqu'un a une idée là-dessus ? Merci :?
Hors ligne
Salut,
Ben écoute à vue de nez, je dirais que ça peu ressembler à une attaque par depassement de buffer qui doit viser une faille d'un serveur http quelconque (IIs, apache, ...)
Seulement, comme ton serveur ne tourne pas sous windows (n'est ce pas ?) ben tu crain rien de cette attaque là qui semble rechercher un dll ...
Enfin, je dis ça, je ne suis pas expert non plus hein
++
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
J'ai déjà vu ce genre d'attaque sur le serveur qui héberge le site web de mon lycée (du apache chrooté tournant sous OBSD), sans y connaître grand chose, je sais juste que ça fait beaucoup rigoler mon admin réseau... (je suis plutôt d'accord avec l'analyse de ioguix quoi...)
Korova qui n'a jamais eu à subir ça sur son petit apache de sa maison
Korova, aventurière (même pas peur) GNU/linux depuis 2003
Hors ligne
Merci pour vos réponses !
Oui j'ai tiqué sur l'instruction SEARCH et le "aut" dans le fichier recherché...
.dll à priori oui c'est du windows. Mon serveur tourne sous Debian mais je vais garder un oeil sur mes logs...
Hors ligne
Au moins ça change du classique "get ....systemwin32xxxxx.dll"
OS qui vois bien aussi une petite tentative de dépassement de buffer ...
Debian in Sid
Hors ligne
J'ai déjà vu ce genre d'attaque sur le serveur qui héberge le site web de mon lycée (du apache chrooté tournant sous OBSD), sans y connaître grand chose, je sais juste que ça fait beaucoup rigoler mon admin réseau... (je suis plutôt d'accord avec l'analyse de ioguix quoi...)
Un nouvel OS ??
Vivement les vacances ... moi c'est 4 jours à partir de jeudi, je réceptionne entre autre ma cuisinière Muffin's party ce we !!! Avis aux amateurs :twisted:
Usti
Faut pas énerver un tigre ...
Hors ligne
OBSD = OpenBSD
Korova avec les sous-titres
Korova, aventurière (même pas peur) GNU/linux depuis 2003
Hors ligne
Pages : 1