Bonjour,
Je ne sais pas si je ne suis pas un brin HS, mais je ne vois pas où
poser cette question.
À noter que ceci n'est pas une "plainte" mais une question pour
accroitre ma culture générale.
J'explique la situation.
Soit un PC qui me sert de passerelle et en même temps possède quelques
services, dont un serveur apache, le tout sous linux.
Je me sers de ce serveur web principalement pour y mettre des choses à
disposition de certaines personnes de mon entourage, mais aussi pour y
mettre des pages qui ne sont pas référencées sur la page d'index, en
gros il faut en connaître l'existence pour pouvoir les voir (et de toute
facon elles sont totalement ininteressantes pour les gens n'étant pas de
mon entourage).
Jusqu'à il y a peu (l'apparition date du 12 juin à ce que je viens de
vérifier), les seules requêtes hors celles que j'avais "provoqué" en
donnant les adresses, étaient du genre "SEARCH /\x90\x02..." , des
requetes sur des /forum, /phpBB, des awstats ou autre. Ce qui est
normal, ca correspond à des "exploits".
Depuis le 12 juin, j'ai ce genre de choses dans les log :
Ma question maintenant...
La page (accessible par mon IP qui est dans l'en-tête de ce message) est
quasiment vide pour le moment, et je ne comprends pas l'intérêt de ce
genre de requêtes. Quel en est l'intérêt ? ca ne bouffe pas tant de
bande passante que ca (quoique à haute échelle sûrement), et ca
n'exploite apparement aucune faille, à moins qu'une faille soit apparue
et que je ne la connaisse pas.
Je connais l'intérêt des conneries que l'on peut recevoir si on log un
peu ce qui arrive sur tcpdump, mais là je n'ai vraiment aucune explication.
En soit ca ne me dérange pas du tout, je m'en étais pas apercue et je
m'en moque à mon échelle, mais j'aimerai comprendre.
Je connais l'intérêt des conneries que l'on peut recevoir si on log un peu ce qui arrive sur tcpdump, mais là je n'ai vraiment aucune explication. En soit ca ne me dérange pas du tout, je m'en étais pas apercue et je m'en moque à mon échelle, mais j'aimerai comprendre.
Imaginons, par hazard :-) , que la réponse à cette requête soit (je commente au fur et à mesure) :
HTTP/1.1 200 OK [== OK, on a à priori bien un server web qui tourne ici ==]
Date: Sun, 19 Jun 2005 17:50:41 GMT [==Il est à l'heure :) ==]
Server: Apache/1.3.28 (Unix) mod_ssl/2.8.15 OpenSSL/0.9.7b PHP/4.3.3 [==Donc, sous rerve que ce n'est pas trafiqué, on a :
Un serveur Apache 1.3.28 Intéressant : si ce n'est pas un backport (pas debian à priori puisque les version 1.3 d'apache sont .26 ou .33-6) le serveur n'est pas à jour. La version actuelle est 1.3.33.
On va regarder un peu dans les archive s'il y a des exploit de sécu la dessus.
Idem pour OpenSSL 0.9.7b : sur le site openssl on a des "important bugfixes" au minimum jusqu'à la 0.9.7g
PHP : interressant (outre qu'on en est à la 4.3.11) il peut y avoir des exploits courant. ==]
[Snap de la majeure partie du html] <div style="text-align: left;"><a href="webmail/index.php"></a><a href="webmail/index.php">Accès au webmail</a><br>
[== mot clef webmail. Lié à php ça peut être une porte ouverte. A voir==]
======== FIN DE LA VERIF ========= Tout ça peut être fait automatiquement et ensuite le gus n'aura plus qu'à piocher dans sa liste D'IP interressantes. Ou même se tenir une base à jour pour lancer un exploit dès qu'une faille est connue.
Comprends tu où est l'interrêt de récupérer simplement des bannières si on a envie de se faire quelques machines? (accessoirement tu peux aussi avoir dans le lots des webcrawlers et autres recherches pour stats "normales")
Pour éviter ça le minimum c'est de ne pas mettre une bannière aussi verbeuse et de se mettre à jour.
De plus quand on a ce genre de rapport on a envie de voir si d'autres services sont vulnérable (Proftpd? :) ) etc.
J'espère que ça répond à ta question.
Eric.
Nota : je me suis contenté uniquement d'informations publiques, et il n'y a rien de secret dans tout ça. Aucune action offensive n'a été effectuée et n'importe quel clampin en fait de même en 3s (le plus long c'est de commenter!)
Le Sun, 19 Jun 2005 17:50:40 +0000, Anthony Fleury a écrit :
[résumé : à quoi ça sert un GET / (pas d'exploit) ]
Depuis le 12 juin, j'ai ce genre de choses dans les log :
Je connais l'intérêt des conneries que l'on peut recevoir si on log un
peu ce qui arrive sur tcpdump, mais là je n'ai vraiment aucune explication.
En soit ca ne me dérange pas du tout, je m'en étais pas apercue et je
m'en moque à mon échelle, mais j'aimerai comprendre.
Imaginons, par hazard :-) , que la réponse à cette requête soit (je
commente au fur et à mesure) :
HTTP/1.1 200 OK
[== OK, on a à priori bien un server web qui tourne ici ==]
Date: Sun, 19 Jun 2005 17:50:41 GMT
[==Il est à l'heure :) ==]
Server: Apache/1.3.28 (Unix) mod_ssl/2.8.15 OpenSSL/0.9.7b PHP/4.3.3
[==Donc, sous rerve que ce n'est pas trafiqué, on a :
Un serveur Apache 1.3.28
Intéressant : si ce n'est pas un backport (pas debian à priori puisque
les version 1.3 d'apache sont .26 ou .33-6) le serveur n'est pas à jour.
La version actuelle est 1.3.33.
On va regarder un peu dans les archive s'il y a des exploit de sécu la
dessus.
Idem pour OpenSSL 0.9.7b : sur le site openssl on a des "important
bugfixes" au minimum jusqu'à la 0.9.7g
PHP : interressant (outre qu'on en est à la 4.3.11) il peut y avoir des
exploits courant. ==]
[Snap de la majeure partie du html]
<div style="text-align: left;"><a href="webmail/index.php"></a><a
href="webmail/index.php">Accès
au webmail</a><br>
[== mot clef webmail. Lié à php ça peut être une porte ouverte. A voir==]
======== FIN DE LA VERIF =========
Tout ça peut être fait automatiquement et ensuite le gus n'aura plus
qu'à piocher dans sa liste D'IP interressantes. Ou même se tenir une
base à jour pour lancer un exploit dès qu'une faille est connue.
Comprends tu où est l'interrêt de récupérer simplement des bannières
si on a envie de se faire quelques machines? (accessoirement tu peux aussi
avoir dans le lots des webcrawlers et autres recherches pour stats
"normales")
Pour éviter ça le minimum c'est de ne pas mettre une bannière aussi
verbeuse et de se mettre à jour.
De plus quand on a ce genre de rapport on a envie de voir si d'autres
services sont vulnérable (Proftpd? :) ) etc.
J'espère que ça répond à ta question.
Eric.
Nota : je me suis contenté uniquement d'informations publiques, et il n'y
a rien de secret dans tout ça. Aucune action offensive n'a été
effectuée et n'importe quel clampin en fait de même en 3s (le plus long
c'est de commenter!)
Je connais l'intérêt des conneries que l'on peut recevoir si on log un peu ce qui arrive sur tcpdump, mais là je n'ai vraiment aucune explication. En soit ca ne me dérange pas du tout, je m'en étais pas apercue et je m'en moque à mon échelle, mais j'aimerai comprendre.
Imaginons, par hazard :-) , que la réponse à cette requête soit (je commente au fur et à mesure) :
HTTP/1.1 200 OK [== OK, on a à priori bien un server web qui tourne ici ==]
Date: Sun, 19 Jun 2005 17:50:41 GMT [==Il est à l'heure :) ==]
Server: Apache/1.3.28 (Unix) mod_ssl/2.8.15 OpenSSL/0.9.7b PHP/4.3.3 [==Donc, sous rerve que ce n'est pas trafiqué, on a :
Un serveur Apache 1.3.28 Intéressant : si ce n'est pas un backport (pas debian à priori puisque les version 1.3 d'apache sont .26 ou .33-6) le serveur n'est pas à jour. La version actuelle est 1.3.33.
On va regarder un peu dans les archive s'il y a des exploit de sécu la dessus.
Idem pour OpenSSL 0.9.7b : sur le site openssl on a des "important bugfixes" au minimum jusqu'à la 0.9.7g
PHP : interressant (outre qu'on en est à la 4.3.11) il peut y avoir des exploits courant. ==]
[Snap de la majeure partie du html] <div style="text-align: left;"><a href="webmail/index.php"></a><a href="webmail/index.php">Accès au webmail</a><br>
[== mot clef webmail. Lié à php ça peut être une porte ouverte. A voir==]
======== FIN DE LA VERIF ========= Tout ça peut être fait automatiquement et ensuite le gus n'aura plus qu'à piocher dans sa liste D'IP interressantes. Ou même se tenir une base à jour pour lancer un exploit dès qu'une faille est connue.
Comprends tu où est l'interrêt de récupérer simplement des bannières si on a envie de se faire quelques machines? (accessoirement tu peux aussi avoir dans le lots des webcrawlers et autres recherches pour stats "normales")
Pour éviter ça le minimum c'est de ne pas mettre une bannière aussi verbeuse et de se mettre à jour.
De plus quand on a ce genre de rapport on a envie de voir si d'autres services sont vulnérable (Proftpd? :) ) etc.
J'espère que ça répond à ta question.
Eric.
Nota : je me suis contenté uniquement d'informations publiques, et il n'y a rien de secret dans tout ça. Aucune action offensive n'a été effectuée et n'importe quel clampin en fait de même en 3s (le plus long c'est de commenter!)
Rakotomandimby (R12y) Mihamina
Anthony Fleury :
mais j'aimerai comprendre.
D'après moi, "les recherches de failles" sont plus ou moins automatisées. C'est un peu comme le spam, il ne cherche pas à comprendre si c'est une adresese valide, ou quoi, mais il balance à qui mieux mieux...
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Anthony Fleury <fleury_anthony@hotmail.com_> :
mais j'aimerai comprendre.
D'après moi, "les recherches de failles" sont plus ou moins
automatisées. C'est un peu comme le spam, il ne cherche pas à comprendre
si c'est une adresese valide, ou quoi, mais il balance à qui mieux mieux...
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
D'après moi, "les recherches de failles" sont plus ou moins automatisées. C'est un peu comme le spam, il ne cherche pas à comprendre si c'est une adresese valide, ou quoi, mais il balance à qui mieux mieux...
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Laurent Blume
Anthony Fleury wrote:
Jusqu'à il y a peu (l'apparition date du 12 juin à ce que je viens de vérifier), les seules requêtes hors celles que j'avais "provoqué" en donnant les adresses, étaient du genre "SEARCH /x90x02..." , des requetes sur des /forum, /phpBB, des awstats ou autre. Ce qui est normal, ca correspond à des "exploits".
Classique :-)
Depuis le 12 juin, j'ai ce genre de choses dans les log :
Ma question maintenant... La page (accessible par mon IP qui est dans l'en-tête de ce message) est quasiment vide pour le moment, et je ne comprends pas l'intérêt de ce genre de requêtes. Quel en est l'intérêt ? ca ne bouffe pas tant de bande passante que ca (quoique à haute échelle sûrement), et ca n'exploite apparement aucune faille, à moins qu'une faille soit apparue et que je ne la connaisse pas. Je connais l'intérêt des conneries que l'on peut recevoir si on log un peu ce qui arrive sur tcpdump, mais là je n'ai vraiment aucune explication. En soit ca ne me dérange pas du tout, je m'en étais pas apercue et je m'en moque à mon échelle, mais j'aimerai comprendre.
J'ai posé la même question il y a un an, je crois, j'avais le même genre de requetes sur /, mais qui ne récupéraient pas les images de la page (pas un navigateur, donc). Pas d'identifiant de navigateur, et après avoir suivi un conseil, loggé des paquets, et passé p0f dessus, toutes les machines d'origine étaient Windows (surprise, surprise...). Après quelques recherches supplémentaires, j'avais fini par identifier un virus.
Je n'ai plus le nom en tête, si ça t'intéresse, je fouillerai mes archives (j'avais aussi fait un petit script pour faire des stats sur les logs, et avoir une jolie courbe d'augmentation des hits, amusant de voir la progression).
Laurent
Anthony Fleury wrote:
Jusqu'à il y a peu (l'apparition date du 12 juin à ce que je viens de
vérifier), les seules requêtes hors celles que j'avais "provoqué" en
donnant les adresses, étaient du genre "SEARCH /x90x02..." , des
requetes sur des /forum, /phpBB, des awstats ou autre. Ce qui est
normal, ca correspond à des "exploits".
Classique :-)
Depuis le 12 juin, j'ai ce genre de choses dans les log :
Ma question maintenant...
La page (accessible par mon IP qui est dans l'en-tête de ce message) est
quasiment vide pour le moment, et je ne comprends pas l'intérêt de ce
genre de requêtes. Quel en est l'intérêt ? ca ne bouffe pas tant de
bande passante que ca (quoique à haute échelle sûrement), et ca
n'exploite apparement aucune faille, à moins qu'une faille soit apparue
et que je ne la connaisse pas.
Je connais l'intérêt des conneries que l'on peut recevoir si on log un
peu ce qui arrive sur tcpdump, mais là je n'ai vraiment aucune explication.
En soit ca ne me dérange pas du tout, je m'en étais pas apercue et je
m'en moque à mon échelle, mais j'aimerai comprendre.
J'ai posé la même question il y a un an, je crois, j'avais le même genre de
requetes sur /, mais qui ne récupéraient pas les images de la page (pas un
navigateur, donc).
Pas d'identifiant de navigateur, et après avoir suivi un conseil, loggé des
paquets, et passé p0f dessus, toutes les machines d'origine étaient Windows
(surprise, surprise...). Après quelques recherches supplémentaires, j'avais fini
par identifier un virus.
Je n'ai plus le nom en tête, si ça t'intéresse, je fouillerai mes archives
(j'avais aussi fait un petit script pour faire des stats sur les logs, et avoir
une jolie courbe d'augmentation des hits, amusant de voir la progression).
Jusqu'à il y a peu (l'apparition date du 12 juin à ce que je viens de vérifier), les seules requêtes hors celles que j'avais "provoqué" en donnant les adresses, étaient du genre "SEARCH /x90x02..." , des requetes sur des /forum, /phpBB, des awstats ou autre. Ce qui est normal, ca correspond à des "exploits".
Classique :-)
Depuis le 12 juin, j'ai ce genre de choses dans les log :
Ma question maintenant... La page (accessible par mon IP qui est dans l'en-tête de ce message) est quasiment vide pour le moment, et je ne comprends pas l'intérêt de ce genre de requêtes. Quel en est l'intérêt ? ca ne bouffe pas tant de bande passante que ca (quoique à haute échelle sûrement), et ca n'exploite apparement aucune faille, à moins qu'une faille soit apparue et que je ne la connaisse pas. Je connais l'intérêt des conneries que l'on peut recevoir si on log un peu ce qui arrive sur tcpdump, mais là je n'ai vraiment aucune explication. En soit ca ne me dérange pas du tout, je m'en étais pas apercue et je m'en moque à mon échelle, mais j'aimerai comprendre.
J'ai posé la même question il y a un an, je crois, j'avais le même genre de requetes sur /, mais qui ne récupéraient pas les images de la page (pas un navigateur, donc). Pas d'identifiant de navigateur, et après avoir suivi un conseil, loggé des paquets, et passé p0f dessus, toutes les machines d'origine étaient Windows (surprise, surprise...). Après quelques recherches supplémentaires, j'avais fini par identifier un virus.
Je n'ai plus le nom en tête, si ça t'intéresse, je fouillerai mes archives (j'avais aussi fait un petit script pour faire des stats sur les logs, et avoir une jolie courbe d'augmentation des hits, amusant de voir la progression).
Laurent
Michel Arboi
On Sun Jun 19 2005 at 19:50, wrote:
La page (accessible par mon IP qui est dans l'en-tête de ce message) est quasiment vide pour le moment
Effectivement. Et ni l'adresse ni ton alias sur hd.free.fr n'apparaissent sur une quelconque page web qui aurait pu amener des robots chez toi. Ton reverse DNS apparaît sur deux pages de statistiques, dans le texte -- donc pas sous forme de lien.
et je ne comprends pas l'intérêt de ce genre de requêtes. Quel en est l'intérêt ?
Recherche de faille, je suppose. Je viens de regarder mes logs. J'ai une requête GET assez récente, précédée de quelques cochonneries loguées comme "UNKNOWN" par thttpd. La machine en question affiche des bannières de KIBUV.B ; elle est peut-être infectées par d'autres saloperies, vu la ribambelle de ports ouverts avec des bannières bizarres. Une vraie poubelle !
En se connectant sur un port, on reçoit 648 Ko de saletés. C'est un binaire Win32 précédé de deux caractères nuls. Quel mode de propagation bizarre, soit dit en passant ! J'intuite que ce machin est un bout d'un serveur FTP primitif en mode passif, mais je peux me tromper.
------------------------------------------------------------------ This is a report processed by VirusTotal on 06/19/2005 at 22:23:19 (CET) after scanning the file "xxx" file.
Antivirus Version Update Result AntiVir 6.31.0.7 06.17.2005 Worm/Agobot.LY AVG 718 06.14.2005 no virus found Avira 6.31.0.7 06.17.2005 Worm/Agobot.LY BitDefender 7.0 06.19.2005 Backdoor.SDBot.Phatbot ClamAV devel-20050501 06.19.2005 no virus found DrWeb 4.32b 06.19.2005 Win32.HLLW.Agobot eTrust-Iris 7.1.194.0 06.19.2005 Win32/Agobot.Variant!Worm eTrust-Vet 11.9.1.0 06.17.2005 Win32.Agobot Fortinet 2.35.0.0 06.18.2005 W32/AgoBot.fam-net Ikarus 2.32 06.18.2005 no virus found Kaspersky 4.0.2.24 06.19.2005 Backdoor.Win32.Agobot.gen McAfee 4516 06.17.2005 W32/Polybot.gen!irc NOD32v2 1.1145 06.18.2005 probably a variant of Win32/Agobot.Wonk.gen trojan (WIN32) Norman 5.70.10 06.17.2005 W32/HLLW.Gaobot.FJ Panda 8.02.00 06.19.2005 W32/Gaobot.JJ.worm Sybari 7.5.1314 06.19.2005 Worm.Agobot.Wonk Symantec 8.0 06.19.2005 W32.Gaobot.gen!poly TheHacker 5.8-3.0 06.19.2005 no virus found VBA32 3.10.3 06.19.2005 no virus found ------------------------------------------------------------------
On Sun Jun 19 2005 at 19:50, fleury_anthony@hotmail.com wrote:
La page (accessible par mon IP qui est dans l'en-tête de ce message)
est quasiment vide pour le moment
Effectivement. Et ni l'adresse ni ton alias sur hd.free.fr
n'apparaissent sur une quelconque page web qui aurait pu amener des
robots chez toi. Ton reverse DNS apparaît sur deux pages de
statistiques, dans le texte -- donc pas sous forme de lien.
et je ne comprends pas l'intérêt de ce genre de requêtes. Quel en
est l'intérêt ?
Recherche de faille, je suppose.
Je viens de regarder mes logs. J'ai une requête GET assez récente,
précédée de quelques cochonneries loguées comme "UNKNOWN" par thttpd.
La machine en question affiche des bannières de KIBUV.B ; elle est
peut-être infectées par d'autres saloperies, vu la ribambelle de ports
ouverts avec des bannières bizarres. Une vraie poubelle !
En se connectant sur un port, on reçoit 648 Ko de saletés. C'est un
binaire Win32 précédé de deux caractères nuls.
Quel mode de propagation bizarre, soit dit en passant ! J'intuite que
ce machin est un bout d'un serveur FTP primitif en mode passif, mais
je peux me tromper.
------------------------------------------------------------------
This is a report processed by VirusTotal on 06/19/2005 at 22:23:19 (CET) after scanning the file "xxx" file.
Antivirus Version Update Result
AntiVir 6.31.0.7 06.17.2005 Worm/Agobot.LY
AVG 718 06.14.2005 no virus found
Avira 6.31.0.7 06.17.2005 Worm/Agobot.LY
BitDefender 7.0 06.19.2005 Backdoor.SDBot.Phatbot
ClamAV devel-20050501 06.19.2005 no virus found
DrWeb 4.32b 06.19.2005 Win32.HLLW.Agobot
eTrust-Iris 7.1.194.0 06.19.2005 Win32/Agobot.Variant!Worm
eTrust-Vet 11.9.1.0 06.17.2005 Win32.Agobot
Fortinet 2.35.0.0 06.18.2005 W32/AgoBot.fam-net
Ikarus 2.32 06.18.2005 no virus found
Kaspersky 4.0.2.24 06.19.2005 Backdoor.Win32.Agobot.gen
McAfee 4516 06.17.2005 W32/Polybot.gen!irc
NOD32v2 1.1145 06.18.2005 probably a variant of Win32/Agobot.Wonk.gen trojan (WIN32)
Norman 5.70.10 06.17.2005 W32/HLLW.Gaobot.FJ
Panda 8.02.00 06.19.2005 W32/Gaobot.JJ.worm
Sybari 7.5.1314 06.19.2005 Worm.Agobot.Wonk
Symantec 8.0 06.19.2005 W32.Gaobot.gen!poly
TheHacker 5.8-3.0 06.19.2005 no virus found
VBA32 3.10.3 06.19.2005 no virus found
------------------------------------------------------------------
La page (accessible par mon IP qui est dans l'en-tête de ce message) est quasiment vide pour le moment
Effectivement. Et ni l'adresse ni ton alias sur hd.free.fr n'apparaissent sur une quelconque page web qui aurait pu amener des robots chez toi. Ton reverse DNS apparaît sur deux pages de statistiques, dans le texte -- donc pas sous forme de lien.
et je ne comprends pas l'intérêt de ce genre de requêtes. Quel en est l'intérêt ?
Recherche de faille, je suppose. Je viens de regarder mes logs. J'ai une requête GET assez récente, précédée de quelques cochonneries loguées comme "UNKNOWN" par thttpd. La machine en question affiche des bannières de KIBUV.B ; elle est peut-être infectées par d'autres saloperies, vu la ribambelle de ports ouverts avec des bannières bizarres. Une vraie poubelle !
En se connectant sur un port, on reçoit 648 Ko de saletés. C'est un binaire Win32 précédé de deux caractères nuls. Quel mode de propagation bizarre, soit dit en passant ! J'intuite que ce machin est un bout d'un serveur FTP primitif en mode passif, mais je peux me tromper.
------------------------------------------------------------------ This is a report processed by VirusTotal on 06/19/2005 at 22:23:19 (CET) after scanning the file "xxx" file.
Antivirus Version Update Result AntiVir 6.31.0.7 06.17.2005 Worm/Agobot.LY AVG 718 06.14.2005 no virus found Avira 6.31.0.7 06.17.2005 Worm/Agobot.LY BitDefender 7.0 06.19.2005 Backdoor.SDBot.Phatbot ClamAV devel-20050501 06.19.2005 no virus found DrWeb 4.32b 06.19.2005 Win32.HLLW.Agobot eTrust-Iris 7.1.194.0 06.19.2005 Win32/Agobot.Variant!Worm eTrust-Vet 11.9.1.0 06.17.2005 Win32.Agobot Fortinet 2.35.0.0 06.18.2005 W32/AgoBot.fam-net Ikarus 2.32 06.18.2005 no virus found Kaspersky 4.0.2.24 06.19.2005 Backdoor.Win32.Agobot.gen McAfee 4516 06.17.2005 W32/Polybot.gen!irc NOD32v2 1.1145 06.18.2005 probably a variant of Win32/Agobot.Wonk.gen trojan (WIN32) Norman 5.70.10 06.17.2005 W32/HLLW.Gaobot.FJ Panda 8.02.00 06.19.2005 W32/Gaobot.JJ.worm Sybari 7.5.1314 06.19.2005 Worm.Agobot.Wonk Symantec 8.0 06.19.2005 W32.Gaobot.gen!poly TheHacker 5.8-3.0 06.19.2005 no virus found VBA32 3.10.3 06.19.2005 no virus found ------------------------------------------------------------------
Anthony Fleury
Comprends tu où est l'interrêt de récupérer simplement des bannières si on a envie de se faire quelques machines? (accessoirement tu peux aussi avoir dans le lots des webcrawlers et autres recherches pour stats "normales")
Merci de vos réponses. Je vais donc prendre plus de temps pour tenir tout ca plus à jour. Ce qui m'a paru bizarre c'est cette apparition soudaine, c'est pour ca que je ne m'étais pas interrogé avant. En fait, au moment où j'ai installé le système (Slackware 10), aucun bug n'était connu sur tout ce que j'ai activé, et je dois dire que mes études m'ont fait un peu zapper ca, ca fonctionnait donc je ne m'en occupais pas. Erreur de ma part.
Pour éviter ça le minimum c'est de ne pas mettre une bannière aussi verbeuse et de se mettre à jour.
je vais faire tout ca... Merci
De plus quand on a ce genre de rapport on a envie de voir si d'autres services sont vulnérable (Proftpd? :) ) etc.
En effet...
Nota : je me suis contenté uniquement d'informations publiques, et il n'y a rien de secret dans tout ça. Aucune action offensive n'a été effectuée et n'importe quel clampin en fait de même en 3s (le plus long c'est de commenter!)
Ces commentaires étaient très clairs et très utiles, merci. Merci beaucoup à vous tous en tout cas. Je comptais justement changer de distribution pour repasser à FreeBSD, ca sera aussi une occasion de mettre le tout à jour avec les dernières versions des logiciels et de faire quelque chose de plus propre.
Je me croyais "protégé" justement parce que cette adresse ne me sert qu'à moi et à un nombre réduit de personnes. Mais c'est sans compter sur les voisins et ceux qui tapent au hasard... Pour l'instant ca sera donc solution de fortune en attendant que j'ai le courage de tout mettre à jour :-)
-- Anthony Fleury
Comprends tu où est l'interrêt de récupérer simplement des bannières
si on a envie de se faire quelques machines? (accessoirement tu peux aussi
avoir dans le lots des webcrawlers et autres recherches pour stats
"normales")
Merci de vos réponses. Je vais donc prendre plus de temps pour tenir
tout ca plus à jour. Ce qui m'a paru bizarre c'est cette apparition
soudaine, c'est pour ca que je ne m'étais pas interrogé avant. En fait,
au moment où j'ai installé le système (Slackware 10), aucun bug n'était
connu sur tout ce que j'ai activé, et je dois dire que mes études m'ont
fait un peu zapper ca, ca fonctionnait donc je ne m'en occupais pas.
Erreur de ma part.
Pour éviter ça le minimum c'est de ne pas mettre une bannière aussi
verbeuse et de se mettre à jour.
je vais faire tout ca... Merci
De plus quand on a ce genre de rapport on a envie de voir si d'autres
services sont vulnérable (Proftpd? :) ) etc.
En effet...
Nota : je me suis contenté uniquement d'informations publiques, et il n'y
a rien de secret dans tout ça. Aucune action offensive n'a été
effectuée et n'importe quel clampin en fait de même en 3s (le plus long
c'est de commenter!)
Ces commentaires étaient très clairs et très utiles, merci.
Merci beaucoup à vous tous en tout cas. Je comptais justement changer de
distribution pour repasser à FreeBSD, ca sera aussi une occasion de
mettre le tout à jour avec les dernières versions des logiciels et de
faire quelque chose de plus propre.
Je me croyais "protégé" justement parce que cette adresse ne me sert
qu'à moi et à un nombre réduit de personnes. Mais c'est sans compter sur
les voisins et ceux qui tapent au hasard...
Pour l'instant ca sera donc solution de fortune en attendant que j'ai le
courage de tout mettre à jour :-)
Comprends tu où est l'interrêt de récupérer simplement des bannières si on a envie de se faire quelques machines? (accessoirement tu peux aussi avoir dans le lots des webcrawlers et autres recherches pour stats "normales")
Merci de vos réponses. Je vais donc prendre plus de temps pour tenir tout ca plus à jour. Ce qui m'a paru bizarre c'est cette apparition soudaine, c'est pour ca que je ne m'étais pas interrogé avant. En fait, au moment où j'ai installé le système (Slackware 10), aucun bug n'était connu sur tout ce que j'ai activé, et je dois dire que mes études m'ont fait un peu zapper ca, ca fonctionnait donc je ne m'en occupais pas. Erreur de ma part.
Pour éviter ça le minimum c'est de ne pas mettre une bannière aussi verbeuse et de se mettre à jour.
je vais faire tout ca... Merci
De plus quand on a ce genre de rapport on a envie de voir si d'autres services sont vulnérable (Proftpd? :) ) etc.
En effet...
Nota : je me suis contenté uniquement d'informations publiques, et il n'y a rien de secret dans tout ça. Aucune action offensive n'a été effectuée et n'importe quel clampin en fait de même en 3s (le plus long c'est de commenter!)
Ces commentaires étaient très clairs et très utiles, merci. Merci beaucoup à vous tous en tout cas. Je comptais justement changer de distribution pour repasser à FreeBSD, ca sera aussi une occasion de mettre le tout à jour avec les dernières versions des logiciels et de faire quelque chose de plus propre.
Je me croyais "protégé" justement parce que cette adresse ne me sert qu'à moi et à un nombre réduit de personnes. Mais c'est sans compter sur les voisins et ceux qui tapent au hasard... Pour l'instant ca sera donc solution de fortune en attendant que j'ai le courage de tout mettre à jour :-)
-- Anthony Fleury
Laurent Blume
Anthony Fleury wrote: [snip]
Je me croyais "protégé" justement parce que cette adresse ne me sert qu'à moi et à un nombre réduit de personnes. Mais c'est sans compter sur les voisins et ceux qui tapent au hasard...
Exactement! Dans mon cas, l'adresse de ma machine était particulièrement visée par le virus en question, et son algorithme de choix pas suffisamment aléatoire. D'autres machines, avec des serveurx web publics sur des adresses IP contiguës, ne recevaient pas la moindre requête. Même sans la moindre indexation, ça peut arriver dès lors qu'on est sur le Réseau. . Laurent
Anthony Fleury wrote:
[snip]
Je me croyais "protégé" justement parce que cette adresse ne me sert
qu'à moi et à un nombre réduit de personnes. Mais c'est sans compter sur
les voisins et ceux qui tapent au hasard...
Exactement!
Dans mon cas, l'adresse de ma machine était particulièrement visée par le virus
en question, et son algorithme de choix pas suffisamment aléatoire. D'autres
machines, avec des serveurx web publics sur des adresses IP contiguës, ne
recevaient pas la moindre requête.
Même sans la moindre indexation, ça peut arriver dès lors qu'on est sur le Réseau.
.
Laurent
Je me croyais "protégé" justement parce que cette adresse ne me sert qu'à moi et à un nombre réduit de personnes. Mais c'est sans compter sur les voisins et ceux qui tapent au hasard...
Exactement! Dans mon cas, l'adresse de ma machine était particulièrement visée par le virus en question, et son algorithme de choix pas suffisamment aléatoire. D'autres machines, avec des serveurx web publics sur des adresses IP contiguës, ne recevaient pas la moindre requête. Même sans la moindre indexation, ça peut arriver dès lors qu'on est sur le Réseau. . Laurent
