Bonjour Mazeau,
Peux tu nous préciser si ton serveur est sous linux/unix ou sur windows ?
Certains serveurs Windows utilisent en effet Apache aussi comme serveur web et pas IIS .. (ne me demandez pas pourquoi, c'est n'importe quoi mais j'ai déjà vu ça ..)
" /scripts/nsiislog.dll " [WIN]
Il s'agit ici d'un buffer overflow (Débordement de tampons -BoF) des Windows Media Services qui permet d'avoir un remote acces, c'est à dire un shell, une interface en lignes de commandes avec tous les droits administrateur sur le serveur cible.
Si ton serveur est sous Win, tous les patchs sont
là.
" /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir " [WIN]
Faille Unicode, propre à IIS donc pas grave puisque tu es sous Apache.
" OPTION http "[WIN/NUX/NIX]
Celle là est un peu plus compliqué à mettre en oeuvre, il s'agit de race conditions, et ce n'est pas accessible au kiddies en théorie sauf si un soft qui fait tout tourne dans leur communauté.
" PROPFIND /c " [WIN]
Ca, c'est du WebDav, propre à iis, on s'en fout donc.
" recipientid=101&sessionid=227 " [WIN/NUX/NIX]
La, c'est un peu plus marrant, enfin si on peut dire.
Il s'agit apparemment d'une tentative de vol/détournement de session id afin de récupérer le login/password de l'utilisateur connecté/cible.
Si tu vois a chaque fois ces 5 lignes de manières récurrentes, il s'agit certainement d'un nouveau soft qui tourne entre eux. Sinon à voir, mais comme tu peux le constater, les attaques utilisent différentes techniques.
La particularité de ce type d'attaques est aussi de devoir rebooter le serveur pour starter un serveur 'caché' à l'intérieur une fois que le pirate est rentrer sur le serveur ..
Les machines à Séoul et Pékin sont certainement des proxies effectivement, l'Asie est la partie ou Nimda a fait le plus de dégats (il se propageait via la faille Unicode entre autres), et beaucoup de machines là bas sont encore vulnérables.
Elles sont utilisés comme point de départ d'attaques sur des serveurs étrangers, les pirates adorent les machines asiatiques
Donc si tu as un serveur sous Windows, je crois qu'il faut un peu t'inquièter et sans être alarmiste vérifier tes logs machines et non plus les logs du serveur Web, et appliquer tous les correctifs proposées par Microsoft.
Si c'est un serveur linux/unix, tu ne risques rien mais patcher avec les derniers correctifs des failles les plus récentes doit être une habitude régulière.
Donc un peu plus de détails sur la configuration de ta/tes machines seraient bienvenue pour t'aider. Mais comme dit plus haut, il est fréquent de voir ce genre d'attaques dans les logs sans risquer grand chose si tu as tout patché correctement et régulièrement
Posté 18 décembre 2003 - 04:06
que c'est des attaques pirates, mais quand je regarde les logs de mon serveur, chaque jours, il y a toujours un zigoto qui change tout le temps d'adresse Ip d'ailleur... Qui tente d'executer des commandes bizarres. Des truc comme 
Haut
Posté 18 décembre 2003 - 09:19
). Je suis peut-être suicidaire, mais en tout cas, les commandes de pirates ne marchent pas 
! Depuis que j'ai découverts ça je vérifie régulièrement tout les logs et les ini de démarage ( Effectivement pour les serveur caché, ou troyen dans le pire des cas).
