OoO En cette matin�e pluvieuse du jeudi 25 d�cembre 2003, vers 10:45, "Charles Grellois" <[EMAIL PROTECTED]> disait:
>> **apache/error.log: >> #Un asticot acharn�, je ne vous est pas mis le debut �a aurait fait >> long >> [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/d/winnt/system32/cmd.exe >> [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe >> [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe >> [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe >> [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not >> exist: /var/www/scripts/root.exe > un peu blaireau sur les bords, il a d'abord cru que t'�tais sous win > NT. il a donc test� l'exploit classique, garanti script-kiddie Ou alors un vers. C'est en tout cas tr�s courant. > 8 h plus tard, il capte que t'es sous linux et t'envoie un exploit > pour apache, que tu devrais d'ailleurs mettre � jour (1.3.26, c'est > vraiment vieux comme version, maintenant �a s'appelle httpd et c'est > en version 2.0.?, j'ai oubli�). utilises aussi les mises � jour > s�curit� de debian (option � activer dans apt-setup ou par �dition > manuelle du /etc/apt/sources.list , d�commente la ligne > correspondante) La 1.3.26 est la derni�re stable pour Woody. Les correctifs pour les failles sont backport�es vers cette version. >> **syslog: >> L� c'est interessant car il a redemarr� � 6H27 en cr�ant un nouveau >> fichier syslog. >> #La fin de l'ancien; syslog.0 >> Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e >> /usr/sbin/anacron || run-parts --report /etc/cron.daily) >> #Et le debut du nouveau >> Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart. >> > il doit avoir l'habitude de cracker du windows, ce qui laisse � > penser que son niveau est assez bas : il red�marre un linux, sans > doute pour appliquer des modifications (!), d'autant plus ridicule > qu'il est root C'est syslog qui fait un rotate de ses logs. Regarde tes logs, tu as exactement la m�me chose. -- BOFH excuse #285: Telecommunications is upgrading.
pgpKU25Qz4hfa.pgp
Description: PGP signature
