Depuis ce matin à 1h 39, notre serveur Web (port 80) a été la cible de
requètes engendrées par la prolifération de 'Code Red'. Ce virus (Worm) se
propageant sur toute machine infectable (MS*, bien sur... et CISCO serie
600), les requètes émanent donc d'un peu partout dans le monde. Nous avons
identié ~220 systémes différents, pour ~ 420 requètes (a 12h00). Vous pouvez
trouver des traces des ces requètes dans les logs de votre serveur Web en
faisant :
grep 'default.ida' access_log
Grosso-modo, ça donne ceci :
24.21.155.40 - - [02/Aug/2001:01:39:44 +0100] "GET/
default.ida?NNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u
6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u53
1b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 252
Vous êtes encouragés a reporter les noms des systèmes infectés (afin que
leurs administrateurs soient prévenus...) en suivant les instructions
decrites sur le site :
http://www.dshield.org/codered.html
J'en suis à me demander si le virus n'est pas .... l'OS lui-mème :-)
Daniel
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se désabonner aussi.
