J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"\x81Vi\x9d\x8f\xac\xaf@\x02\xd18\x95\xf1OE\x9d\xb4a" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?
Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find
156.93.11.117.in-addr.arpa: NXDOMAIN» ?
Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la
directive deny de mon apache, les requêtes ont continué bien que la page
403 soit renvoyée.
J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i
eth0 -s 217.23.140.162/16 -j DROP'.
Cette commande est-elle correcte ?
Merci de vos avis.
--
> la plupart des automobilistes n'ont aucune idée de comment fonctionne
> une moto
Si : trop vite, et en faisant trop de bruit.
Hugo (né il y a 1 382 885 726 secondes)
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find 156.93.11.117.in-addr.arpa: NXDOMAIN» ?
Parceque cette machine n'a pas de nom associé
http://samspade.org/whois/117.11.93.156
Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la directive deny de mon apache, les requêtes ont continué bien que la page 403 soit renvoyée.
J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i eth0 -s 217.23.140.162/16 -j DROP'.
Cette commande est-elle correcte ?
Tu n'as pas filtré l'IP, mais le réseau tout entier 217.23.0.0/16
Alors que tu parlais de l'IP 117.11.93.156 dix lignes au dessus.
Tentes plutôt: iptables -I INPUT 1 -i eth0 -s 117.11.93.156 -j DROP -- Kevin
On 2008-02-19, Hugolino <hugolino@free.fr> wrote:
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"x81Vix9dx8fxacxaf@x02xd18x95xf1OEx9dxb4a" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find
156.93.11.117.in-addr.arpa: NXDOMAIN» ?
Parceque cette machine n'a pas de nom associé
http://samspade.org/whois/117.11.93.156
Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la
directive deny de mon apache, les requêtes ont continué bien que la page
403 soit renvoyée.
J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i
eth0 -s 217.23.140.162/16 -j DROP'.
Cette commande est-elle correcte ?
Tu n'as pas filtré l'IP, mais le réseau tout entier 217.23.0.0/16
Alors que tu parlais de l'IP 117.11.93.156 dix lignes au dessus.
Tentes plutôt:
iptables -I INPUT 1 -i eth0 -s 117.11.93.156 -j DROP
--
Kevin
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find 156.93.11.117.in-addr.arpa: NXDOMAIN» ?
Parceque cette machine n'a pas de nom associé
http://samspade.org/whois/117.11.93.156
Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la directive deny de mon apache, les requêtes ont continué bien que la page 403 soit renvoyée.
J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i eth0 -s 217.23.140.162/16 -j DROP'.
Cette commande est-elle correcte ?
Tu n'as pas filtré l'IP, mais le réseau tout entier 217.23.0.0/16
Alors que tu parlais de l'IP 117.11.93.156 dix lignes au dessus.
Tentes plutôt: iptables -I INPUT 1 -i eth0 -s 117.11.93.156 -j DROP -- Kevin
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Et pourquoi une machine enverrait-elle du binaire sur mon port 80 ? Parce qu'elle est vérolée ?
Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find 156.93.11.117.in-addr.arpa: NXDOMAIN» ?
Parceque cette machine n'a pas de nom associé
http://samspade.org/whois/117.11.93.156
Merci du lien, je ne connaissais pas.
Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la directive deny de mon apache, les requêtes ont continué bien que la page 403 soit renvoyée.
J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i eth0 -s 217.23.140.162/16 -j DROP'.
Cette commande est-elle correcte ?
Tu n'as pas filtré l'IP, mais le réseau tout entier 217.23.0.0/16
Alors que tu parlais de l'IP 117.11.93.156 dix lignes au dessus.
Oui, je me suis mélangé entre les russes et les chinois :) Et je filtre effectivement tout le sous-réseau pour avoir la paix.
-- je copie le fichier rpm dans un répertoire et l'installe, maintenant je ne sais pas lancer l'appli car elle ne s'est pas mise dans le menu "Démarrer-Programmes". -+- Stéph in Guide du linuxien pervers : "install.exe il est ou?" -+-
Le 20 Feb 2008 09:02:06 GMT, Kevin Denis a écrit:
On 2008-02-19, Hugolino <hugolino@free.fr> wrote:
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"x81Vix9dx8fxacxaf@x02xd18x95xf1OEx9dxb4a" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Et pourquoi une machine enverrait-elle du binaire sur mon port 80 ?
Parce qu'elle est vérolée ?
Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find
156.93.11.117.in-addr.arpa: NXDOMAIN» ?
Parceque cette machine n'a pas de nom associé
http://samspade.org/whois/117.11.93.156
Merci du lien, je ne connaissais pas.
Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la
directive deny de mon apache, les requêtes ont continué bien que la page
403 soit renvoyée.
J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i
eth0 -s 217.23.140.162/16 -j DROP'.
Cette commande est-elle correcte ?
Tu n'as pas filtré l'IP, mais le réseau tout entier 217.23.0.0/16
Alors que tu parlais de l'IP 117.11.93.156 dix lignes au dessus.
Oui, je me suis mélangé entre les russes et les chinois :)
Et je filtre effectivement tout le sous-réseau pour avoir la paix.
--
je copie le fichier rpm dans un répertoire et l'installe, maintenant
je ne sais pas lancer l'appli car elle ne s'est pas mise dans le menu
"Démarrer-Programmes".
-+- Stéph in Guide du linuxien pervers : "install.exe il est ou?" -+-
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Et pourquoi une machine enverrait-elle du binaire sur mon port 80 ? Parce qu'elle est vérolée ?
Pourquoi un nslookup sur cette ip renvoie-t'elle «server can't find 156.93.11.117.in-addr.arpa: NXDOMAIN» ?
Parceque cette machine n'a pas de nom associé
http://samspade.org/whois/117.11.93.156
Merci du lien, je ne connaissais pas.
Visiblement, il s'agit d'un robot, car lorsque j'ai ajouté cette ip à la directive deny de mon apache, les requêtes ont continué bien que la page 403 soit renvoyée.
J'ai fini par firewallé cette ip avec 'iptables -t filter -A INPUT -i eth0 -s 217.23.140.162/16 -j DROP'.
Cette commande est-elle correcte ?
Tu n'as pas filtré l'IP, mais le réseau tout entier 217.23.0.0/16
Alors que tu parlais de l'IP 117.11.93.156 dix lignes au dessus.
Oui, je me suis mélangé entre les russes et les chinois :) Et je filtre effectivement tout le sous-réseau pour avoir la paix.
-- je copie le fichier rpm dans un répertoire et l'installe, maintenant je ne sais pas lancer l'appli car elle ne s'est pas mise dans le menu "Démarrer-Programmes". -+- Stéph in Guide du linuxien pervers : "install.exe il est ou?" -+-
Stephane Catteau
Kevin Denis devait dire quelque chose comme ceci :
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200. Si c'était un binaire, il y aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien long, ou 400, parce qu'il faudrait une sacré change pour que le binaire corresponde à une requête bien formée, n'a pas d'importance. Au pire, ce serait une erreur 404, mais en tout cas ce serait une erreur. Or, là c'est une requête qui a été comprise par le serveur et qui a donné lieu à l'envoie d'un fichier de 21387 octets.
Kevin Denis devait dire quelque chose comme ceci :
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"x81Vix9dx8fxacxaf@x02xd18x95xf1OEx9dxb4a" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200. Si c'était un binaire, il y
aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien
long, ou 400, parce qu'il faudrait une sacré change pour que le binaire
corresponde à une requête bien formée, n'a pas d'importance. Au pire,
ce serait une erreur 404, mais en tout cas ce serait une erreur.
Or, là c'est une requête qui a été comprise par le serveur et qui a
donné lieu à l'envoie d'un fichier de 21387 octets.
Kevin Denis devait dire quelque chose comme ceci :
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200. Si c'était un binaire, il y aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien long, ou 400, parce qu'il faudrait une sacré change pour que le binaire corresponde à une requête bien formée, n'a pas d'importance. Au pire, ce serait une erreur 404, mais en tout cas ce serait une erreur. Or, là c'est une requête qui a été comprise par le serveur et qui a donné lieu à l'envoie d'un fichier de 21387 octets.
Kevin Denis
On 2008-02-20, Stephane Catteau wrote:
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200.
Effectivement, j'avais pas fait attention.
Si c'était un binaire, il y aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien long, ou 400, parce qu'il faudrait une sacré change pour que le binaire corresponde à une requête bien formée, n'a pas d'importance. Au pire, ce serait une erreur 404, mais en tout cas ce serait une erreur. Or, là c'est une requête qui a été comprise par le serveur et qui a donné lieu à l'envoie d'un fichier de 21387 octets.
Cela dit, est-ce que le log est bien complet? Est-ce qu'Hugolino peut fournir les lignes avant et après, si la ligne est systématiquement la même, si elle est toute les minutes pile, si la taille fait toujours 21387 octets, si ça fait 21387 octets existe t'il un fichier de 21387 octets présent sur la machine etc.. -- Kevin
On 2008-02-20, Stephane Catteau <steph.nospam@sc4x.net> wrote:
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"x81Vix9dx8fxacxaf@x02xd18x95xf1OEx9dxb4a" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200.
Effectivement, j'avais pas fait attention.
Si c'était un binaire, il y
aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien
long, ou 400, parce qu'il faudrait une sacré change pour que le binaire
corresponde à une requête bien formée, n'a pas d'importance. Au pire,
ce serait une erreur 404, mais en tout cas ce serait une erreur.
Or, là c'est une requête qui a été comprise par le serveur et qui a
donné lieu à l'envoie d'un fichier de 21387 octets.
Cela dit, est-ce que le log est bien complet?
Est-ce qu'Hugolino peut fournir les lignes avant et après, si la ligne est
systématiquement la même, si elle est toute les minutes pile, si la
taille fait toujours 21387 octets, si ça fait 21387 octets existe t'il un
fichier de 21387 octets présent sur la machine etc..
--
Kevin
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200.
Effectivement, j'avais pas fait attention.
Si c'était un binaire, il y aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien long, ou 400, parce qu'il faudrait une sacré change pour que le binaire corresponde à une requête bien formée, n'a pas d'importance. Au pire, ce serait une erreur 404, mais en tout cas ce serait une erreur. Or, là c'est une requête qui a été comprise par le serveur et qui a donné lieu à l'envoie d'un fichier de 21387 octets.
Cela dit, est-ce que le log est bien complet? Est-ce qu'Hugolino peut fournir les lignes avant et après, si la ligne est systématiquement la même, si elle est toute les minutes pile, si la taille fait toujours 21387 octets, si ça fait 21387 octets existe t'il un fichier de 21387 octets présent sur la machine etc.. -- Kevin
vlade_imir
Le 19 Feb 2008 14:36:04 GMT,
Bonjour,
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-"
Une petite remarque, pour info le texte c'est du chinois passé à la moulinette d'encodages différents (du ISO-2022-CN en ASCCI par exemple).
Le 19 Feb 2008 14:36:04 GMT,
Bonjour,
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"x81Vix9dx8fxacxaf@x02xd18x95xf1OEx9dxb4a" 200 21387 "-"
Une petite remarque, pour info le texte c'est du chinois passé à la
moulinette d'encodages différents (du ISO-2022-CN en ASCCI par exemple).
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-"
Une petite remarque, pour info le texte c'est du chinois passé à la moulinette d'encodages différents (du ISO-2022-CN en ASCCI par exemple).
mpg
Le (on) mercredi 20 février 2008 12:08, Hugolino a écrit (wrote) :
Oui, je me suis mélangé entre les russes et les chinois :) Et je filtre effectivement tout le sous-réseau pour avoir la paix.
C'est sans doute un débat sans fin, de savoir s'il faut filter par
sous-réseau ou pas, et de quelle taille, mais juste en passant, le mois dernier il y a trois IP du même /16 que moi qui ont été la source d'une attaque par dictionnaire sur mon serveur ssh. Juste pour dire que dans un /16, statistiquement, il y a aussi au moins un gentil...
Manuel.
Le (on) mercredi 20 février 2008 12:08, Hugolino a écrit (wrote) :
Oui, je me suis mélangé entre les russes et les chinois :)
Et je filtre effectivement tout le sous-réseau pour avoir la paix.
C'est sans doute un débat sans fin, de savoir s'il faut filter par
sous-réseau ou pas, et de quelle taille, mais juste en passant, le mois
dernier il y a trois IP du même /16 que moi qui ont été la source d'une
attaque par dictionnaire sur mon serveur ssh. Juste pour dire que dans
un /16, statistiquement, il y a aussi au moins un gentil...
Le (on) mercredi 20 février 2008 12:08, Hugolino a écrit (wrote) :
Oui, je me suis mélangé entre les russes et les chinois :) Et je filtre effectivement tout le sous-réseau pour avoir la paix.
C'est sans doute un débat sans fin, de savoir s'il faut filter par
sous-réseau ou pas, et de quelle taille, mais juste en passant, le mois dernier il y a trois IP du même /16 que moi qui ont été la source d'une attaque par dictionnaire sur mon serveur ssh. Juste pour dire que dans un /16, statistiquement, il y a aussi au moins un gentil...
Manuel.
Hugolino
Le 20 Feb 2008 18:52:20 GMT, Kevin Denis a écrit:
On 2008-02-20, Stephane Catteau wrote:
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200.
Effectivement, j'avais pas fait attention.
Moi non plus...
Si c'était un binaire, il y aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien long, ou 400, parce qu'il faudrait une sacré change pour que le binaire corresponde à une requête bien formée, n'a pas d'importance. Au pire, ce serait une erreur 404, mais en tout cas ce serait une erreur. Or, là c'est une requête qui a été comprise par le serveur et qui a donné lieu à l'envoie d'un fichier de 21387 octets.
Cela dit, est-ce que le log est bien complet? Est-ce qu'Hugolino peut fournir les lignes avant et après, si la ligne est systématiquement la même, si elle est toute les minutes pile, si la taille fait toujours 21387 octets, si ça fait 21387 octets existe t'il un fichier de 21387 octets présent sur la machine etc..
19 secondes avant cette connexion (117.11.93.156 est en chine), j'en ai une de 218.56.204.90 qui est aussi en chine: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 218.56.204.90 - - [19/Feb/2008:09:46:19 +0100] "xb3xc0b5vxdfx8ex04ixdap x0fx0cxabxc1x89Wxc8x0exd72xd2xe2oxdbv-0xa2r!xa9x8b.x98xfdExce x8d;xc0xb2!tx9exc2xa9xe1x17xfa xbaxb5x85xa4xb4xd4xf7xc0xe3x8 8x8fx11xaewnaxfdxd0Dx0cUxce" 400 449 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Et 30 secondes plus tard, une connexion de 222.130.8.156 (chinois aussi selon samspade.org).
Sinon, la ligne " xf1OEx9dxb4a" citée dans mon message originel est toujours la même dans les logs qui concernent 117.11.93.156, et se répête toutes les 3 à 6 minutes avec comme une taille des données envoyées qui n'est pas constante, mais qui tourne autour de 20 ko.
Je mets mon access.log ici: <http://urlalacon.com/Kiaai2>
Et je m'aperçois que j'ai des lignes comme celle-ci: 212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol" 400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de Debian...
N'en reste pas moins qu'un chinois envoie du binaire à mon apache et que je trouve bizarre qu'apache réponde. Sous Ubuntu Edgy, il y avait le paquet "libapache2-mod-security" qui permettait de sécuriser apache, mais il n'est plus disponible, peut-être parce c'est maintenant intégré à apache...
Merci de votre aide.
-- A woman, without her man, is nothing. A woman: without her, man is nothing. Hugo (né il y a 1 382 996 882 secondes)
Le 20 Feb 2008 18:52:20 GMT, Kevin Denis a écrit:
On 2008-02-20, Stephane Catteau <steph.nospam@sc4x.net> wrote:
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"x81Vix9dx8fxacxaf@x02xd18x95xf1OEx9dxb4a" 200 21387 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que
cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200.
Effectivement, j'avais pas fait attention.
Moi non plus...
Si c'était un binaire, il y
aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien
long, ou 400, parce qu'il faudrait une sacré change pour que le binaire
corresponde à une requête bien formée, n'a pas d'importance. Au pire,
ce serait une erreur 404, mais en tout cas ce serait une erreur.
Or, là c'est une requête qui a été comprise par le serveur et qui a
donné lieu à l'envoie d'un fichier de 21387 octets.
Cela dit, est-ce que le log est bien complet?
Est-ce qu'Hugolino peut fournir les lignes avant et après, si la ligne est
systématiquement la même, si elle est toute les minutes pile, si la
taille fait toujours 21387 octets, si ça fait 21387 octets existe t'il un
fichier de 21387 octets présent sur la machine etc..
19 secondes avant cette connexion (117.11.93.156 est en chine), j'en ai
une de 218.56.204.90 qui est aussi en chine:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
218.56.204.90 - - [19/Feb/2008:09:46:19 +0100]
"xb3xc0b5vxdfx8ex04ixdap
x0fx0cxabxc1x89Wxc8x0exd72xd2xe2oxdbv-0xa2r!xa9x8b.x98xfdExce
x8d;xc0xb2!tx9exc2xa9xe1x17xfa
xbaxb5x85xa4xb4xd4xf7xc0xe3x8
8x8fx11xaewnaxfdxd0Dx0cUxce" 400 449 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Et 30 secondes plus tard, une connexion de 222.130.8.156 (chinois aussi
selon samspade.org).
Sinon, la ligne "x81Vix9dx8fxacxaf@x02xd18x95
xf1OEx9dxb4a" citée dans mon message originel est toujours la même
dans les logs qui concernent 117.11.93.156, et se répête toutes les 3 à
6 minutes avec comme une taille des données envoyées qui n'est pas
constante, mais qui tourne autour de 20 ko.
Je mets mon access.log ici: <http://urlalacon.com/Kiaai2>
Et je m'aperçois que j'ai des lignes comme celle-ci:
212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol"
400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de
Debian...
N'en reste pas moins qu'un chinois envoie du binaire à mon apache et que
je trouve bizarre qu'apache réponde.
Sous Ubuntu Edgy, il y avait le paquet "libapache2-mod-security" qui
permettait de sécuriser apache, mais il n'est plus disponible, peut-être
parce c'est maintenant intégré à apache...
Merci de votre aide.
--
A woman, without her man, is nothing.
A woman: without her, man is nothing.
Hugo (né il y a 1 382 996 882 secondes)
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Cette requête se répète toutes les minutes. Que signifie-t'elle ? Que cherche à faire l'"attaquant" ?
Pas sur que ce soit un attaquant. Plutot du binaire envoyé sur le serveur
au lieu que ce soit du HTTP.
Non, pas avec un code de retour en 200.
Effectivement, j'avais pas fait attention.
Moi non plus...
Si c'était un binaire, il y aurait une erreur 4xy. Que ce soit 413, parce qu'un binaire c'est bien long, ou 400, parce qu'il faudrait une sacré change pour que le binaire corresponde à une requête bien formée, n'a pas d'importance. Au pire, ce serait une erreur 404, mais en tout cas ce serait une erreur. Or, là c'est une requête qui a été comprise par le serveur et qui a donné lieu à l'envoie d'un fichier de 21387 octets.
Cela dit, est-ce que le log est bien complet? Est-ce qu'Hugolino peut fournir les lignes avant et après, si la ligne est systématiquement la même, si elle est toute les minutes pile, si la taille fait toujours 21387 octets, si ça fait 21387 octets existe t'il un fichier de 21387 octets présent sur la machine etc..
19 secondes avant cette connexion (117.11.93.156 est en chine), j'en ai une de 218.56.204.90 qui est aussi en chine: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 218.56.204.90 - - [19/Feb/2008:09:46:19 +0100] "xb3xc0b5vxdfx8ex04ixdap x0fx0cxabxc1x89Wxc8x0exd72xd2xe2oxdbv-0xa2r!xa9x8b.x98xfdExce x8d;xc0xb2!tx9exc2xa9xe1x17xfa xbaxb5x85xa4xb4xd4xf7xc0xe3x8 8x8fx11xaewnaxfdxd0Dx0cUxce" 400 449 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Et 30 secondes plus tard, une connexion de 222.130.8.156 (chinois aussi selon samspade.org).
Sinon, la ligne " xf1OEx9dxb4a" citée dans mon message originel est toujours la même dans les logs qui concernent 117.11.93.156, et se répête toutes les 3 à 6 minutes avec comme une taille des données envoyées qui n'est pas constante, mais qui tourne autour de 20 ko.
Je mets mon access.log ici: <http://urlalacon.com/Kiaai2>
Et je m'aperçois que j'ai des lignes comme celle-ci: 212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol" 400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de Debian...
N'en reste pas moins qu'un chinois envoie du binaire à mon apache et que je trouve bizarre qu'apache réponde. Sous Ubuntu Edgy, il y avait le paquet "libapache2-mod-security" qui permettait de sécuriser apache, mais il n'est plus disponible, peut-être parce c'est maintenant intégré à apache...
Merci de votre aide.
-- A woman, without her man, is nothing. A woman: without her, man is nothing. Hugo (né il y a 1 382 996 882 secondes)
Hugolino
Le 20 Feb 2008 19:55:00 GMT, vlade_imir a écrit:
Le 19 Feb 2008 14:36:04 GMT,
Bonjour,
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-"
Une petite remarque, pour info le texte c'est du chinois passé à la moulinette d'encodages différents (du ISO-2022-CN en ASCCI par exemple).
Ah voilà une info intéressante.
Et il se trouve que la page d'index du site que fait tourner mon apache fait justement environ 21 ko. Donc j'imagine que la chaine de caractères signifie index.php...
Merci à toi.
-- Symptôme : Les murs de la discothèque bougent, les gens sont tous habillés en blanc et la musique est assez répétitive Cause : Tu es dans une ambulance Solution : Ne pas bouger, coma éthylique probable.
Le 20 Feb 2008 19:55:00 GMT, vlade_imir a écrit:
Le 19 Feb 2008 14:36:04 GMT,
Bonjour,
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
117.11.93.156 - - [19/Feb/2008:09:46:38 +0100]
"x81Vix9dx8fxacxaf@x02xd18x95xf1OEx9dxb4a" 200 21387 "-"
Une petite remarque, pour info le texte c'est du chinois passé à la
moulinette d'encodages différents (du ISO-2022-CN en ASCCI par exemple).
Ah voilà une info intéressante.
Et il se trouve que la page d'index du site que fait tourner mon apache
fait justement environ 21 ko. Donc j'imagine que la chaine de caractères
signifie index.php...
Merci à toi.
--
Symptôme : Les murs de la discothèque bougent, les gens sont tous habillés en
blanc et la musique est assez répétitive
Cause : Tu es dans une ambulance
Solution : Ne pas bouger, coma éthylique probable.
J'ai une chaîne de requête bizarre dans /var/log/apache2/access.log: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 117.11.93.156 - - [19/Feb/2008:09:46:38 +0100] "" 200 21387 "-"
Une petite remarque, pour info le texte c'est du chinois passé à la moulinette d'encodages différents (du ISO-2022-CN en ASCCI par exemple).
Ah voilà une info intéressante.
Et il se trouve que la page d'index du site que fait tourner mon apache fait justement environ 21 ko. Donc j'imagine que la chaine de caractères signifie index.php...
Merci à toi.
-- Symptôme : Les murs de la discothèque bougent, les gens sont tous habillés en blanc et la musique est assez répétitive Cause : Tu es dans une ambulance Solution : Ne pas bouger, coma éthylique probable.
Stephane Catteau
Hugolino n'était pas loin de dire :
Et je m'aperçois que j'ai des lignes comme celle-ci: 212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol" 400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de Debian...
Et il reste quelques liens tenances quelque part du côté de la Chine, ce qui explique probablement les requêtes que tu reçois. Par contre je ne m'explique pas le fichier que le serveur sert en retour.
Hugolino n'était pas loin de dire :
Et je m'aperçois que j'ai des lignes comme celle-ci:
212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol"
400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de
Debian...
Et il reste quelques liens tenances quelque part du côté de la Chine,
ce qui explique probablement les requêtes que tu reçois. Par contre je
ne m'explique pas le fichier que le serveur sert en retour.
Et je m'aperçois que j'ai des lignes comme celle-ci: 212.199.141.2 - - [19/Feb/2008:03:24:44 +0100] "x13BitTorrent protocol" 400 323 "-" "-"
Je faisais effectivement tourner Ktorrent pour partager des isos de Debian...
Et il reste quelques liens tenances quelque part du côté de la Chine, ce qui explique probablement les requêtes que tu reçois. Par contre je ne m'explique pas le fichier que le serveur sert en retour.
