Depuis ce matin � 1h 39, notre serveur Web (port 80) a �t� la cible de
requ�tes engendr�es par la prolif�ration de 'Code Red'. Ce virus (Worm) se
propageant sur toute machine infectable (MS*, bien sur... et CISCO serie
600), les requ�tes �manent donc d'un peu partout dans le monde. Nous avons
identi� ~220 syst�mes diff�rents, pour ~ 420 requ�tes (a 12h00). Vous pouvez
trouver des traces des ces requ�tes dans les logs de votre serveur Web en
faisant :
grep 'default.ida' access_log
Grosso-modo, �a donne ceci :
24.21.155.40 - - [02/Aug/2001:01:39:44 +0100] "GET/
default.ida?NNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u
6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u53
1b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 252
Vous �tes encourag�s a reporter les noms des syst�mes infect�s (afin que
leurs administrateurs soient pr�venus...) en suivant les instructions
decrites sur le site :
http://www.dshield.org/codered.html
J'en suis � me demander si le virus n'est pas .... l'OS lui-m�me :-)
Daniel
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
