Re: nimda et log apache

On Sun, 2002-02-03 at 16:49, Marc Chachereau wrote:
> Bonjour, je viens de mettre en route un serveur web pour permettre à des
> amis de regarder des photos.
> En regardant les log j'ai pu voir les traces suivantes qui sont visiblement
> liées à Nimda.
> Qqun pourrait il me donner des explications un peu plus précises ?
> Merci d'avance, Marc.
Ne t'inquiètes pas, nimda est innofensif pour apache,
mais c'est très désagréable car ca rempli les logs.
Nimda essayes simplement de profiter de failles de sécurité de IIS
de microsoft, c'est pour ca qu'on vois qu'il cherche cmd.exe.....
Le seul problème, c'est que ça produit des erreurs 404 à chaque fois,
et que ça peut avoir une influence sur le temps de réponse d'apache.
J'avais trouvé sur le net un site qui explique comment limiter les
baisses de performances dus à nimda. Il s'agit de ne pas lever
d'erreur 404 en créant de faux répertoires win32, ... avec des fichiers
vides, et un .htaccess qui va bien. Voir google.

Sinon,pour les logs, un petit script perl pour les nettoyer les
éclaircit vraiment. (je peux te filer le miens si tu veux).

C'est une plaie ce windows ! Après des mois d'agissement de Nimda,
on voit encore des milliers de PC infectés !!
a+


>
> 217.128.87.242 - - [03/Feb/2002:17:43:17 +0100] "GET
> /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 298
> 217.128.87.242 - - [03/Feb/2002:17:43:18 +0100] "GET
> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
> 217.128.87.242 - - [03/Feb/2002:17:43:18 +0100] "GET
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
> 217.128.156.229 - - [03/Feb/2002:17:43:18 +0100] "GET
> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
> 217.128.156.229 - - [03/Feb/2002:17:43:19 +0100] "GET
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
>