requete apache bizarre

Le
Hugolino
Bonjour,

J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<--8<8<-8<-8<-8<-8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"x81Vix9dx8fxacxaf@x02xd18x95xf1OEx9dxb4a" 200 21387 "-" "-"
8<--8<8<-8<-8<-8<-8<

Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?

Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find
156.93.11.117.in-addr.arpa: NXDOMAIN» ?

Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la
directive deny de mon apache, les requêtes ont continué bien que la page
403 soit renvoyée.

J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i
eth0 -s 217.23.140.162/16 -j DROP'.

Cette commande est-elle correcte ?


Merci de vos avis.


--
> la plupart des automobilistes n'ont aucune idée de comment fonctionne
> une moto
Si : trop vite, et en faisant trop de bruit.
Hugo (né il y a 1 382 885 726 secondes)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Kevin Denis
Le #1036703
On 2008-02-19, Hugolino

J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<

Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?

Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur

au lieu que ce soit du HTTP.

Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find
156.93.11.117.in-addr.arpa: NXDOMAIN» ?

Parceque cette machine n'a pas de nom associé

http://samspade.org/whois/117.11.93.156

Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la
directive deny de mon apache, les requêtes ont continué bien que la page
403 soit renvoyée.

J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i
eth0 -s 217.23.140.162/16 -j DROP'.

Cette commande est-elle correcte ?

Tu n'as pas filtré l'IP, mais le réseau tout entier 217.23.0.0/16

Alors que tu parlais de l'IP 117.11.93.156 dix lignes au dessus.

Tentes plutôt:
iptables -I INPUT 1 -i eth0 -s 117.11.93.156 -j DROP
--
Kevin

Julien Vehent
Le #1037566

Tentes plutôt:
iptables -I INPUT 1 -i eth0 -s 117.11.93.156 -j DROP


Si c'est un robot qui est derrière, autant faire un REJECT histoire de
le notifier que l'on refuse sa connection

iptables -A INPUT -i eth0 -p tcp --dport 80 -s 117.11.93.156 -j REJECT

Hugolino
Le #1041961
Le 20 Feb 2008 09:02:06 GMT, Kevin Denis a écrit:
On 2008-02-19, Hugolino

J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<

Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?

Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur

au lieu que ce soit du HTTP.


Et pourquoi une machine enverrait-elle du binaire sur mon port 80 ?
Parce qu'elle est vérolée ?

Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find
156.93.11.117.in-addr.arpa: NXDOMAIN» ?

Parceque cette machine n'a pas de nom associé

http://samspade.org/whois/117.11.93.156


Merci du lien, je ne connaissais pas.

Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la
directive deny de mon apache, les requêtes ont continué bien que la page
403 soit renvoyée.

J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i
eth0 -s 217.23.140.162/16 -j DROP'.

Cette commande est-elle correcte ?

Tu n'as pas filtré l'IP, mais le réseau tout entier 217.23.0.0/16

Alors que tu parlais de l'IP 117.11.93.156 dix lignes au dessus.


Oui, je me suis mélangé entre les russes et les chinois :)
Et je filtre effectivement tout le sous-réseau pour avoir la paix.

Tentes plutôt:
iptables -I INPUT 1 -i eth0 -s 117.11.93.156 -j DROP


OK. Merci à toi.

--
je copie le fichier rpm dans un répertoire et l'installe, maintenant
je ne sais pas lancer l'appli car elle ne s'est pas mise dans le menu
"Démarrer-Programmes".
-+- Stéph in Guide du linuxien pervers : "install.exe il est ou?" -+-


Stephane Catteau
Le #1043774
Kevin Denis devait dire quelque chose comme ceci :

J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<

Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?

Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur

au lieu que ce soit du HTTP.


Non, pas avec un code de retour en 200. Si c'était un binaire, il y
aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien
long, ou 400, parce qu'il faudrait une sacré change pour que le binaire
corresponde à une requête bien formée, n'a pas d'importance. Au pire,
ce serait une erreur 404, mais en tout cas ce serait une erreur.
Or, là c'est une requête qui a été comprise par le serveur et qui a
donné lieu à l'envoie d'un fichier de 21387 octets.


Kevin Denis
Le #1044595
On 2008-02-20, Stephane Catteau
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<

Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?

Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur

au lieu que ce soit du HTTP.


Non, pas avec un code de retour en 200.


Effectivement, j'avais pas fait attention.

Si c'était un binaire, il y
aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien
long, ou 400, parce qu'il faudrait une sacré change pour que le binaire
corresponde à une requête bien formée, n'a pas d'importance. Au pire,
ce serait une erreur 404, mais en tout cas ce serait une erreur.
Or, là c'est une requête qui a été comprise par le serveur et qui a
donné lieu à l'envoie d'un fichier de 21387 octets.


Cela dit, est-ce que le log est bien complet?
Est-ce qu'Hugolino peut fournir les lignes avant et après, si la ligne est
systématiquement la même, si elle est toute les minutes pile, si la
taille fait toujours 21387 octets, si ça fait 21387 octets existe t'il un
fichier de 21387 octets présent sur la machine etc..
--
Kevin



vlade_imir
Le #1046942
Le 19 Feb 2008 14:36:04 GMT,

Bonjour,

J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"" 200 21387 "-"



Une petite remarque, pour info le texte c'est du chinois passé à la
moulinette d'encodages différents (du ISO-2022-CN en ASCCI par exemple).

mpg
Le #1046941
Le (on) mercredi 20 février 2008 12:08, Hugolino a écrit (wrote) :

Oui, je me suis mélangé entre les russes et les chinois :)
Et je filtre effectivement tout le sous-réseau pour avoir la paix.

C'est sans doute un débat sans fin, de savoir s'il faut filter par

sous-réseau ou pas, et de quelle taille, mais juste en passant, le mois
dernier il y a trois IP du même /16 que moi qui ont été la source d'une
attaque par dictionnaire sur mon serveur ssh. Juste pour dire que dans
un /16, statistiquement, il y a aussi au moins un gentil...

Manuel.

Hugolino
Le #1046940
Le 20 Feb 2008 18:52:20 GMT, Kevin Denis a écrit:
On 2008-02-20, Stephane Catteau
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<

Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?

Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur

au lieu que ce soit du HTTP.


Non, pas avec un code de retour en 200.


Effectivement, j'avais pas fait attention.


Moi non plus...

Si c'était un binaire, il y
aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien
long, ou 400, parce qu'il faudrait une sacré change pour que le binaire
corresponde à une requête bien formée, n'a pas d'importance. Au pire,
ce serait une erreur 404, mais en tout cas ce serait une erreur.
Or, là c'est une requête qui a été comprise par le serveur et qui a
donné lieu à l'envoie d'un fichier de 21387 octets.


Cela dit, est-ce que le log est bien complet?
Est-ce qu'Hugolino peut fournir les lignes avant et après, si la ligne est
systématiquement la même, si elle est toute les minutes pile, si la
taille fait toujours 21387 octets, si ça fait 21387 octets existe t'il un
fichier de 21387 octets présent sur la machine etc..


19 secondes avant cette connexion (117.11.93.156 est en chine), j'en ai
une de 218.56.204.90 qui est aussi en chine:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
218.56.204.90 - - [19/Feb/2008:09:46:19 +0100]
"xb3xc0b5vxdfx8ex04ixdap
x0fx0cxabxc1x89Wxc8x0exd72xd2xe2oxdbv-0xa2r!xa9x8b.x98xfdExce
x8d;xc0xb2!tx9exc2xa9xe1x17xfa
xbaxb5x85xa4xb4xd4xf7xc0xe3x8
8x8fx11xaewnaxfdxd0Dx0cUxce" 400 449 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<

Et 30 secondes plus tard, une connexion de 222.130.8.156 (chinois aussi
selon samspade.org).

Sinon, la ligne "
xf1OEx9dxb4a" citée dans mon message originel est toujours la même
dans les logs qui concernent 117.11.93.156, et se répête toutes les 3 à
6 minutes avec comme une taille des données envoyées qui n'est pas
constante, mais qui tourne autour de 20 ko.

Je mets mon access.log ici:
Et je m'aperçois que j'ai des lignes comme celle-ci:
212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol"
400 323 "-" "-"

Je faisais effectivement tourner Ktorrent pour partager des isos de
Debian...

N'en reste pas moins qu'un chinois envoie du binaire à mon apache et que
je trouve bizarre qu'apache réponde.
Sous Ubuntu Edgy, il y avait le paquet "libapache2-mod-security" qui
permettait de sécuriser apache, mais il n'est plus disponible, peut-être
parce c'est maintenant intégré à apache...

Merci de votre aide.

--
A woman, without her man, is nothing.
A woman: without her, man is nothing.
Hugo (né il y a 1 382 996 882 secondes)




Hugolino
Le #1054217
Le 20 Feb 2008 19:55:00 GMT, vlade_imir a écrit:
Le 19 Feb 2008 14:36:04 GMT,

Bonjour,

J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"" 200 21387 "-"



Une petite remarque, pour info le texte c'est du chinois passé à la
moulinette d'encodages différents (du ISO-2022-CN en ASCCI par exemple).


Ah voilà une info intéressante.

Et il se trouve que la page d'index du site que fait tourner mon apache
fait justement environ 21 ko. Donc j'imagine que la chaine de caractères
signifie index.php...

Merci à toi.

--
Symptôme : Les murs de la discothèque bougent, les gens sont tous habillés en
blanc et la musique est assez répétitive
Cause : Tu es dans une ambulance
Solution : Ne pas bouger, coma éthylique probable.


Stephane Catteau
Le #1054216
Hugolino n'était pas loin de dire :

Et je m'aperçois que j'ai des lignes comme celle-ci:
212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol"
400 323 "-" "-"

Je faisais effectivement tourner Ktorrent pour partager des isos de
Debian...


Et il reste quelques liens tenances quelque part du côté de la Chine,
ce qui explique probablement les requêtes que tu reçois. Par contre je
ne m'explique pas le fichier que le serveur sert en retour.

Publicité
Poster une réponse
Anonyme