Bonjour,
Stephane Leclerc wrote:
A ce sujet, il n'y aurait pas moyen de limiter les d�gats que fait ce virus
sur nos serveurs en "occuppant" le virus lorsqu'il fait une requete.
Exemple,
cr��r un /scripts/root.exe en php ou cgi ou autre qui ferait betement un
sleep et ferait perdre du temps au virus?
J'ai fait une erreur de copier/coller tout � l'heure. Pour IPTABLE voici la
routine qui tue :
# routine iptable pour filtrage http
iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK ACK --dport 80 -m string
--string 'root.exe' -j REJECT --reject-with tcp-reset
C'est surement tr�s efficace, mais �a me semble un peu brutal de bloquer
une IP. Celle-ci peut �tre celle d'un proxy ou une adresse dynamique
et peut bloquer d'autres utilisateurs que l'utilisateur "virus�".
Pour limiter ce rique, il faudrait associer � chaque blocage un timeout
pour qu'il ne soit effectif que pendant un laps de temps (1/4 d'heure
par exemple).
Cela complique les scripts et peut demander d'avoir recours � un cron,
mais ce doit rester possible ;=) ...
Mes 0,02 Euros.
Eric
Vous pouvez aussi en faire une autre pour codered avec default.ida (toujours
l� celui-l�).
D�faut, elle ferme salement le port.
L'avantage c'est que cette routine est "temps r�el" par rapport au filtrage
de fichiers de logs Apache des autres routines.
Pour infos, dans mon serveur le plus scann�, j'ai trouv� 544 IP contamin�
pour la date du 25 septembre...
Stef...
..........................................................
. Linux - Debian - php4 - Apache - MySQL - Infogerance .
. email: [EMAIL PROTECTED] - http://www.actionweb.fr .
. Tel: (0)141 906 100 - Fax: (0)141 906 101 .
..........................................................
--
See you in Scottsdale, Arizona.
http://xmlconnections.com/xml/xmlfall2001/speakers.asp#evandervlist
------------------------------------------------------------------------
Eric van der Vlist http://xmlfr.org http://dyomedea.com
http://xsltunit.org http://4xt.org http://examplotron.org
------------------------------------------------------------------------
