Jump to content

Attaque pirate sur mon serveur


Guest mazeau

Recommended Posts

Je pense, enfin, je suppose :huh: que c'est des attaques pirates, mais quand je regarde les logs de mon serveur, chaque jours, il y a toujours un zigoto qui change tout le temps d'adresse Ip d'ailleur... Qui tente d'executer des commandes bizarres. Des truc comme

" /scripts/nsiislog.dll "

" PROPFIND /c "

" OPTION http "

" recipientid=101&sessionid=227 "

" /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir "

Quand je cherche ces truc sur Google, ça me revenvois sur des trucs qui permettent de rentrer sur une machine... m'enfin c'est très vague...

Et en retraceant les Ips on se retrouve toujours sur de trucs à Seoul ou à Pekin... Des proxys je supposes...

Alors si quelqu'un sait si je dois m'affoler...

A propos, des fois le serveur se déconnecte et refuse de se connecter jusqu'à ce qu'on le redemarre... J'utilise Apache.

Link to comment
Share on other sites

Salut,

Sans être un grand spécialiste des tentatives d'attaques, ce que tu trouve dans le log Apache est "normal", des machines passent leur temps à essayer de rentrer sur nos serveurs. J'ai moi même les mêmes erreurs que toi. Pour les .dll et .exe, pas de soucis, cela concerne Windows Server, pour le reste je ne sais pas quel système est visé mais seule un machine qui ne serait pas à jour risque quelque chose...

Link to comment
Share on other sites

Salut Mazeau,

exabs a raison, ce type d'attaque ne concerne que les serveurs Windows, et pas les serveurs Apache. Je retouve ce type de traces dans mes logs quasiment tous les jours.

Certains viennent d'ailleurs d'utilisateurs de frontpage lorsqu'ils essayent de sauver une page de ton site.

Par contre, il est tout de même sage de s'assurer que tu es au dernier niveau de patch de sécurité, que ce soit pour Apache ou pour Php...

Dan

Link to comment
Share on other sites

Re - Mazeau,

Si tu ne tiens pas particulièrement à ces visiteurs de Seoul ou Pekin, une méthode radicale est carrément de bannir des domaines entiers. Je l'ai fait pour certains sites, et c'est une méthode radicale.

Tu trouveras les explications dans l'article sur la réécriture d'URLs, vers la fin du document "débarassez-vous des indésirables" ;)

Dan

Link to comment
Share on other sites

Salut, et merci.

J'ai mis un .dll que j'ai rempli de trucs aléatoirs dans un répertoire /script/, juste pour voir ce qu'ils tenterais après... Je vous recontacterais ensuite...

Link to comment
Share on other sites

Bonjour Mazeau,

Peux tu nous préciser si ton serveur est sous linux/unix ou sur windows ?

Certains serveurs Windows utilisent en effet Apache aussi comme serveur web et pas IIS .. (ne me demandez pas pourquoi, c'est n'importe quoi mais j'ai déjà vu ça ..)

" /scripts/nsiislog.dll " [WIN]

Il s'agit ici d'un buffer overflow (Débordement de tampons -BoF) des Windows Media Services qui permet d'avoir un remote acces, c'est à dire un shell, une interface en lignes de commandes avec tous les droits administrateur sur le serveur cible.

Si ton serveur est sous Win, tous les patchs sont .

" /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir " [WIN]

Faille Unicode, propre à IIS donc pas grave puisque tu es sous Apache.

" OPTION http "[WIN/NUX/NIX]

Celle là est un peu plus compliqué à mettre en oeuvre, il s'agit de race conditions, et ce n'est pas accessible au kiddies en théorie sauf si un soft qui fait tout tourne dans leur communauté.

" PROPFIND /c " [WIN]

Ca, c'est du WebDav, propre à iis, on s'en fout donc.

" recipientid=101&sessionid=227 " [WIN/NUX/NIX]

La, c'est un peu plus marrant, enfin si on peut dire.

Il s'agit apparemment d'une tentative de vol/détournement de session id afin de récupérer le login/password de l'utilisateur connecté/cible.

Si tu vois a chaque fois ces 5 lignes de manières récurrentes, il s'agit certainement d'un nouveau soft qui tourne entre eux. Sinon à voir, mais comme tu peux le constater, les attaques utilisent différentes techniques.

La particularité de ce type d'attaques est aussi de devoir rebooter le serveur pour starter un serveur 'caché' à l'intérieur une fois que le pirate est rentrer sur le serveur ..

Les machines à Séoul et Pékin sont certainement des proxies effectivement, l'Asie est la partie ou Nimda a fait le plus de dégats (il se propageait via la faille Unicode entre autres), et beaucoup de machines là bas sont encore vulnérables.

Elles sont utilisés comme point de départ d'attaques sur des serveurs étrangers, les pirates adorent les machines asiatiques ;)

Donc si tu as un serveur sous Windows, je crois qu'il faut un peu t'inquièter et sans être alarmiste vérifier tes logs machines et non plus les logs du serveur Web, et appliquer tous les correctifs proposées par Microsoft.

Si c'est un serveur linux/unix, tu ne risques rien mais patcher avec les derniers correctifs des failles les plus récentes doit être une habitude régulière.

Donc un peu plus de détails sur la configuration de ta/tes machines seraient bienvenue pour t'aider. Mais comme dit plus haut, il est fréquent de voir ce genre d'attaques dans les logs sans risquer grand chose si tu as tout patché correctement et régulièrement ;)

Link to comment
Share on other sites

Lol... Ça va peut-être vous semblez bizarre, mais je n'utilise ni linux, ni unix, ni windows 2000, ni windows NT, ni windows server...

En fait j'utilise un vulgaire Windows 98 Se ( Pour sa simplicité et sa stabilité :whistling: ). Je suis peut-être suicidaire, mais en tout cas, les commandes de pirates ne marchent pas :D! Depuis que j'ai découverts ça je vérifie régulièrement tout les logs et les ini de démarage ( Effectivement pour les serveur caché, ou troyen dans le pire des cas).

Moi qui pensais qu'un petit serveur perdu au fin-fond des adresse Ips avec un mini .cjb.net ne serais jamais visé puisque jamais trouvé, je me trompais :(

Link to comment
Share on other sites

Ah en effet .. !

Pourquoi pas pour un petit serveur et si tu es attentif ..

Mais tiens, pour faire un test, amuses toi à mettre un firewall et regarde tous les gens qui essayer de se connecter ou qui scanne.

Je dois avoir dans mes logs une centaine de scans/jour, et selon les activités des virus type Nimda ou Blast encore assez récemment, ca montait jusqu'a 300/400 tentatives de connexion/jour par des ordinateurs qui ne savait probablement même pas qu'il était infecté !

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
×
×
  • Create New...