Interpréter les logs

[Nullette]

Bonjour,

je ne sais pas dans quelle rubrique poster cette question.

Dans mon fichier log je reçois quotidiennement ce genre de log :

26/10/2004 11:14:03 213.173.180.122: GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=5606&STRMVER=4&CAPREQ=0 (File does not exist: /home/xxxxx/_vti_bin/owssvr.dll) Ref:

26/10/2004 11:14:03 213.173.180.122: GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=5606&STRMVER=4&CAPREQ=0 (File does not exist:

Savez-vous ce que cela signifie ?

[Remi]

Ce sont des gens qui surfent avec frontpage ou avec un soft qui cherche les extensions Fontpage.

Y'en a toujours dans les logs, ça fait plein de 404.

Rien à faire de spécial.

Modifié 27 Octobre 2004 par Remi

[Stephane]

Ca ressemble beaucoup à des virus de type CodeRed ou Nimda.

Mais si tu es sur serveur Unix/Apache, normalement il n'y a rien à craindre.

[Dan]

Je dirais comme Remi, ce sont les fichiers types demandés par FrontPage pour charger les extensions ... pas de quoi s'inquiéter.

[Stephane]

Les hits sur /_vti_bin/owssvr.dll et /MSOffice/cltreq.asp sont bien une des caractéristiques de Nimda, un worm qui exploite les vulnérabilités de certains serveurs IIS.

Si tu vois en plus du

get_mem_bin

Root.exe

CMD.EXE

Getadmin.dll

et Default.IDA

ça confirmerait que ce soit bien Nimda (ou une de ses nombreuses variantes)

[Nullette]

Merci pour vos réponses.

Mon hébergeur est sur Unix. J'ai regardé ce matin, il n'y a pas de root.exe et autres.

Je ne savais pas qu'on pouvait surfer avec frontpage. Est-ce que ça voudrait dire que quelqu'un a téléchargé mon site et irait sur le net pour voir si telle page a changé ?

&STRMVER=4&CAPREQ=0 (File does not exist: /home/xxxxx/MSOffice/cltreq.asp) Ref:

27/10/2004 20:14:31 213.103.213.126: GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=5606

Après home il y a la référence de mon site sur le serveur, n'est-ce pas inquiétant ?