J'ai un un site web sur win xp (apache, easyphp 6), avec le fichier log,
j'ai trouvé une entrée bizzare:
65.6.160.228 - - [25/May/2004:18:10:33 +0200] "GET
/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
Esc-ce bien une tentative intrusion? A t-il réussi? dans ce cas, quel sera
la conséquence?
Merci.
---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.690 / Virus Database: 451 - Release Date: 22/05/2004
Esc-ce bien une tentative intrusion? A t-il réussi? dans ce cas, quel sera la conséquence?
C'est un virus (Nimda) qui se propage à cause d'une faille dans IIS. Comme vous avez un Apache, il n'y a pas de problème.
--
Cordialement,
Artur Pydo.
Bruno Patri
Bonjour,
J'ai un un site web sur win xp (apache, easyphp 6), avec le fichier log, j'ai trouvé une entrée bizzare: 65.6.160.228 - - [25/May/2004:18:10:33 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - Esc-ce bien une tentative intrusion? A t-il réussi? dans ce cas, quel sera la conséquence?
Sur un serveur web apache aucune conséquence. Il s'agit de requete envoyée par des pécés infecté par nimda ou une de ses variantes.
-- Bruno
Bonjour,
J'ai un un site web sur win xp (apache, easyphp 6), avec le fichier log,
j'ai trouvé une entrée bizzare:
65.6.160.228 - - [25/May/2004:18:10:33 +0200] "GET
/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
Esc-ce bien une tentative intrusion? A t-il réussi? dans ce cas, quel sera
la conséquence?
Sur un serveur web apache aucune conséquence. Il s'agit de requete
envoyée par des pécés infecté par nimda ou une de ses variantes.
J'ai un un site web sur win xp (apache, easyphp 6), avec le fichier log, j'ai trouvé une entrée bizzare: 65.6.160.228 - - [25/May/2004:18:10:33 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - Esc-ce bien une tentative intrusion? A t-il réussi? dans ce cas, quel sera la conséquence?
Sur un serveur web apache aucune conséquence. Il s'agit de requete envoyée par des pécés infecté par nimda ou une de ses variantes.
-- Bruno
Philippe Orand
On 25 May 2004 20:31:20 GMT, "Gluck" wrote:
Bonjour,
J'ai un un site web sur win xp (apache, easyphp 6), avec le fichier log, j'ai trouvé une entrée bizzare: 65.6.160.228 - - [25/May/2004:18:10:33 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - Esc-ce bien une tentative intrusion?
Oui, par un vers type Nimda pour IIS
A t-il réussi?
Non, apache est insensible à ce ver..
Par contre, Il est fortement DECONSEILLE d'heberger avec easyphp surtout la 1.6 qui est connue pour un hack trés simple (accés au disque dur) . voir : http://www.easyphp.org/intra-inter.php3 Le nombre de machine qui se sont fait hacker avec ce produit est assez impressionnant. (voir les discussions sur ce sujet sur le forum de easyphp) : http://www.easyphp.org/forums/list.php?f=7 Et c'est normal. Ephp n'est pas fait pour héberger, c'est uniquement un produit destiné à tester les scripts php, pour les envoyer aprés sur un serveur (correctement configuré lui).
Si tu veux héberger un site web, il te faut avoir les mises à jour de sécurité, paramétrer correctement et de façon sécurisée tout le bouzin... un bon firewall.. Que tu sois un bon administrateur..
Pas évident tout ça.
Et normalement on fait tout ça sur un LAMP (Linux, Apache, MySql, Php) et pas sur un système windows.
Enfin, moi ce que j'en dis, c'est juste pour t'avertir que tu es en train de faire une bétise en hébergeant sans savoir exactement ce que tu fais, et que tu t'exposes à des scripts kiddies.
Amicalement, Philippe
On 25 May 2004 20:31:20 GMT, "Gluck" <glucknospam@operamail.com> wrote:
Bonjour,
J'ai un un site web sur win xp (apache, easyphp 6), avec le fichier log,
j'ai trouvé une entrée bizzare:
65.6.160.228 - - [25/May/2004:18:10:33 +0200] "GET
/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
Esc-ce bien une tentative intrusion?
Oui, par un vers type Nimda pour IIS
A t-il réussi?
Non, apache est insensible à ce ver..
Par contre, Il est fortement DECONSEILLE d'heberger avec easyphp surtout la 1.6 qui est connue pour
un hack trés simple (accés au disque dur) .
voir : http://www.easyphp.org/intra-inter.php3
Le nombre de machine qui se sont fait hacker avec ce produit est assez impressionnant. (voir les
discussions sur ce sujet sur le forum de easyphp) :
http://www.easyphp.org/forums/list.php?f=7
Et c'est normal. Ephp n'est pas fait pour héberger, c'est uniquement un produit destiné à tester les
scripts php, pour les envoyer aprés sur un serveur (correctement configuré lui).
Si tu veux héberger un site web, il te faut avoir les mises à jour de sécurité, paramétrer
correctement et de façon sécurisée tout le bouzin... un bon firewall.. Que tu sois un bon
administrateur..
Pas évident tout ça.
Et normalement on fait tout ça sur un LAMP (Linux, Apache, MySql, Php) et pas sur un système
windows.
Enfin, moi ce que j'en dis, c'est juste pour t'avertir que tu es en train de faire une bétise en
hébergeant sans savoir exactement ce que tu fais, et que tu t'exposes à des scripts kiddies.
J'ai un un site web sur win xp (apache, easyphp 6), avec le fichier log, j'ai trouvé une entrée bizzare: 65.6.160.228 - - [25/May/2004:18:10:33 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - Esc-ce bien une tentative intrusion?
Oui, par un vers type Nimda pour IIS
A t-il réussi?
Non, apache est insensible à ce ver..
Par contre, Il est fortement DECONSEILLE d'heberger avec easyphp surtout la 1.6 qui est connue pour un hack trés simple (accés au disque dur) . voir : http://www.easyphp.org/intra-inter.php3 Le nombre de machine qui se sont fait hacker avec ce produit est assez impressionnant. (voir les discussions sur ce sujet sur le forum de easyphp) : http://www.easyphp.org/forums/list.php?f=7 Et c'est normal. Ephp n'est pas fait pour héberger, c'est uniquement un produit destiné à tester les scripts php, pour les envoyer aprés sur un serveur (correctement configuré lui).
Si tu veux héberger un site web, il te faut avoir les mises à jour de sécurité, paramétrer correctement et de façon sécurisée tout le bouzin... un bon firewall.. Que tu sois un bon administrateur..
Pas évident tout ça.
Et normalement on fait tout ça sur un LAMP (Linux, Apache, MySql, Php) et pas sur un système windows.
Enfin, moi ce que j'en dis, c'est juste pour t'avertir que tu es en train de faire une bétise en hébergeant sans savoir exactement ce que tu fais, et que tu t'exposes à des scripts kiddies.
Amicalement, Philippe
Cedric Blancher
Le Fri, 28 May 2004 06:46:19 +0000, Philippe Orand a écrit :
Et c'est normal. Ephp n'est pas fait pour héberger, c'est uniquement un produit destiné à tester les scripts php, pour les envoyer aprés sur un serveur (correctement configuré lui).
Et encore... La configuration de EasyPHP est tellement permissive que parfois (voire souvent) on se retrouve avec des scripts qui ne marchent pas sur un serveur Web un tant soit peu bien configuré.
-- je suis un roliste mou -+- J *A* in Guide du Petit Joueur: Confession d'un blob -+-
Le Fri, 28 May 2004 06:46:19 +0000, Philippe Orand a écrit :
Et c'est normal. Ephp n'est pas fait pour héberger, c'est uniquement un
produit destiné à tester les scripts php, pour les envoyer aprés sur
un serveur (correctement configuré lui).
Et encore... La configuration de EasyPHP est tellement permissive que
parfois (voire souvent) on se retrouve avec des scripts qui ne marchent
pas sur un serveur Web un tant soit peu bien configuré.
--
je suis un roliste mou
-+- J *A* in Guide du Petit Joueur: Confession d'un blob -+-
Le Fri, 28 May 2004 06:46:19 +0000, Philippe Orand a écrit :
Et c'est normal. Ephp n'est pas fait pour héberger, c'est uniquement un produit destiné à tester les scripts php, pour les envoyer aprés sur un serveur (correctement configuré lui).
Et encore... La configuration de EasyPHP est tellement permissive que parfois (voire souvent) on se retrouve avec des scripts qui ne marchent pas sur un serveur Web un tant soit peu bien configuré.
-- je suis un roliste mou -+- J *A* in Guide du Petit Joueur: Confession d'un blob -+-
Philippe Orand
On 28 May 2004 06:53:56 GMT, Cedric Blancher wrote:
Et encore... La configuration de EasyPHP est tellement permissive que parfois (voire souvent) on se retrouve avec des scripts qui ne marchent pas sur un serveur Web un tant soit peu bien configuré.
Exact. Les extentions php qui sont permises avec Ephp ne sont pas permises sur tous les serveurs, et heureusement!!!! certaines sont de véritables trou de sécurité.
Donc, je renouvelle ma mise en garde: N'utilisez pas Ephp pour héberger.
Amicalement, Philippe
On 28 May 2004 06:53:56 GMT, Cedric Blancher <blancher@cartel-securite.fr> wrote:
Et encore... La configuration de EasyPHP est tellement permissive que
parfois (voire souvent) on se retrouve avec des scripts qui ne marchent
pas sur un serveur Web un tant soit peu bien configuré.
Exact.
Les extentions php qui sont permises avec Ephp ne sont pas permises sur tous les serveurs, et
heureusement!!!! certaines sont de véritables trou de sécurité.
Donc, je renouvelle ma mise en garde: N'utilisez pas Ephp pour héberger.
On 28 May 2004 06:53:56 GMT, Cedric Blancher wrote:
Et encore... La configuration de EasyPHP est tellement permissive que parfois (voire souvent) on se retrouve avec des scripts qui ne marchent pas sur un serveur Web un tant soit peu bien configuré.
Exact. Les extentions php qui sont permises avec Ephp ne sont pas permises sur tous les serveurs, et heureusement!!!! certaines sont de véritables trou de sécurité.
Donc, je renouvelle ma mise en garde: N'utilisez pas Ephp pour héberger.
Amicalement, Philippe
Gluck
"Philippe Orand" a écrit dans le message de news:
On 28 May 2004 06:53:56 GMT, Cedric Blancher wrote:
Donc, je renouvelle ma mise en garde: N'utilisez pas Ephp pour héberger.
Amicalement, Philippe
Philiphe et Cedirc:
Merci pour vos mises en garde. J'utilise easyphp 1.6 pour tester localement mon site, et j'ai un router qui ne route que le port 80 vers l'interieur du réseau, sur mon win xp j'ai kerio qui bloque normalement l'entrée sur le port 80. Ouvert pendant 10 mn pour vérifier mes DNS, et j'ai trouvé cette tentative d'intrusion. Quand le site sera mis au point, je le mettrai sur Linux (Mandrake 9.1), c'est nettement plus rassurant. Salutation.
--- Outgoing mail is certified Virus Free. Checked by AVG anti-virus system (http://www.grisoft.com). Version: 6.0.692 / Virus Database: 453 - Release Date: 28/05/2004
"Philippe Orand" <p.point.orand.at@free.point.fr> a écrit dans le message de
news: 3rseb0t88nolvkpn02839j2955v53f0gir@4ax.com...
On 28 May 2004 06:53:56 GMT, Cedric Blancher <blancher@cartel-securite.fr>
wrote:
Donc, je renouvelle ma mise en garde: N'utilisez pas Ephp pour héberger.
Amicalement, Philippe
Philiphe et Cedirc:
Merci pour vos mises en garde. J'utilise easyphp 1.6 pour tester localement
mon site, et j'ai un router qui ne route que le port 80 vers l'interieur du
réseau, sur mon win xp j'ai kerio qui bloque normalement l'entrée sur le
port 80. Ouvert pendant 10 mn pour vérifier mes DNS, et j'ai trouvé cette
tentative d'intrusion. Quand le site sera mis au point, je le mettrai sur
Linux (Mandrake 9.1), c'est nettement plus rassurant.
Salutation.
---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.692 / Virus Database: 453 - Release Date: 28/05/2004
On 28 May 2004 06:53:56 GMT, Cedric Blancher wrote:
Donc, je renouvelle ma mise en garde: N'utilisez pas Ephp pour héberger.
Amicalement, Philippe
Philiphe et Cedirc:
Merci pour vos mises en garde. J'utilise easyphp 1.6 pour tester localement mon site, et j'ai un router qui ne route que le port 80 vers l'interieur du réseau, sur mon win xp j'ai kerio qui bloque normalement l'entrée sur le port 80. Ouvert pendant 10 mn pour vérifier mes DNS, et j'ai trouvé cette tentative d'intrusion. Quand le site sera mis au point, je le mettrai sur Linux (Mandrake 9.1), c'est nettement plus rassurant. Salutation.
--- Outgoing mail is certified Virus Free. Checked by AVG anti-virus system (http://www.grisoft.com). Version: 6.0.692 / Virus Database: 453 - Release Date: 28/05/2004
Cedric Blancher
Le Mon, 31 May 2004 00:09:15 +0000, Gluck a écrit :
Merci pour vos mises en garde.
De nada.
J'utilise easyphp 1.6 pour tester localement mon site, et j'ai un router qui ne route que le port 80 vers l'interieur du réseau, sur mon win xp j'ai kerio qui bloque normalement l'entrée sur le port 80.
Ça n'apporte rien en terme de sécurité, c'est exactement comme si tu avais ton port 80 ouvert directement sur Internet :
. le port 80 de ta machine est accessible depuis Internet via le routeur . Kerio laisse le port ouvert pour que les gens puissent s'y connecter
Du coup, n'importe qui peut exploiter sans aucun soucis n'importe quelle failles qui serait présente sur ton routeur de la même manière que s'il s'agissait d'un serveur directement connecté à Internet avec une IP publique.
Ouvert pendant 10 mn pour vérifier mes DNS, et j'ai trouvé cette tentative d'intrusion.
CQFD. L'attaque n'a pas réussi, mais ce n'est ni à cause de ton routeur, ni à cause de Kerio. C'est juste que ton serveur n'était pas vulnérable à cette attaque.
Quand le site sera mis au point, je le mettrai sur Linux (Mandrake 9.1), c'est nettement plus rassurant.
C'est rassurant en effet, mais cela ne doit pas te faire perdre de vue que 80% des serveurs Web piratés le sont à travers une faille du site Web lui-même, à savoir ses pages dynamiques, et non de failles du logiciel qui sert de socle au site (i.e. Apache dans le cas présent).
-- User-Agent: Gnus/5.090006 (Oort Gnus v0.06) XEmacs/21.5 (beets,i686-pc-linux) Alors non, je n'essaierai pas un truc documenté comme ne pouvant pas marcher. Gnus est autiste, c'est tout. -+- ED in GFA : 'Sont fous ces emacsiens -+-
Le Mon, 31 May 2004 00:09:15 +0000, Gluck a écrit :
Merci pour vos mises en garde.
De nada.
J'utilise easyphp 1.6 pour tester localement mon site, et j'ai un router
qui ne route que le port 80 vers l'interieur du réseau, sur mon win xp
j'ai kerio qui bloque normalement l'entrée sur le port 80.
Ça n'apporte rien en terme de sécurité, c'est exactement comme si tu
avais ton port 80 ouvert directement sur Internet :
. le port 80 de ta machine est accessible depuis Internet via le routeur
. Kerio laisse le port ouvert pour que les gens puissent s'y connecter
Du coup, n'importe qui peut exploiter sans aucun soucis n'importe quelle
failles qui serait présente sur ton routeur de la même manière que s'il
s'agissait d'un serveur directement connecté à Internet avec une IP
publique.
Ouvert pendant 10 mn pour vérifier mes DNS, et j'ai trouvé cette
tentative d'intrusion.
CQFD.
L'attaque n'a pas réussi, mais ce n'est ni à cause de ton routeur, ni à
cause de Kerio. C'est juste que ton serveur n'était pas vulnérable à
cette attaque.
Quand le site sera mis au point, je le mettrai sur Linux (Mandrake 9.1),
c'est nettement plus rassurant.
C'est rassurant en effet, mais cela ne doit pas te faire perdre de vue que
80% des serveurs Web piratés le sont à travers une faille du site Web
lui-même, à savoir ses pages dynamiques, et non de failles du logiciel
qui sert de socle au site (i.e. Apache dans le cas présent).
--
User-Agent: Gnus/5.090006 (Oort Gnus v0.06) XEmacs/21.5 (beets,i686-pc-linux)
Alors non, je n'essaierai pas un truc documenté comme ne pouvant pas
marcher. Gnus est autiste, c'est tout.
-+- ED in GFA : 'Sont fous ces emacsiens -+-
Le Mon, 31 May 2004 00:09:15 +0000, Gluck a écrit :
Merci pour vos mises en garde.
De nada.
J'utilise easyphp 1.6 pour tester localement mon site, et j'ai un router qui ne route que le port 80 vers l'interieur du réseau, sur mon win xp j'ai kerio qui bloque normalement l'entrée sur le port 80.
Ça n'apporte rien en terme de sécurité, c'est exactement comme si tu avais ton port 80 ouvert directement sur Internet :
. le port 80 de ta machine est accessible depuis Internet via le routeur . Kerio laisse le port ouvert pour que les gens puissent s'y connecter
Du coup, n'importe qui peut exploiter sans aucun soucis n'importe quelle failles qui serait présente sur ton routeur de la même manière que s'il s'agissait d'un serveur directement connecté à Internet avec une IP publique.
Ouvert pendant 10 mn pour vérifier mes DNS, et j'ai trouvé cette tentative d'intrusion.
CQFD. L'attaque n'a pas réussi, mais ce n'est ni à cause de ton routeur, ni à cause de Kerio. C'est juste que ton serveur n'était pas vulnérable à cette attaque.
Quand le site sera mis au point, je le mettrai sur Linux (Mandrake 9.1), c'est nettement plus rassurant.
C'est rassurant en effet, mais cela ne doit pas te faire perdre de vue que 80% des serveurs Web piratés le sont à travers une faille du site Web lui-même, à savoir ses pages dynamiques, et non de failles du logiciel qui sert de socle au site (i.e. Apache dans le cas présent).
-- User-Agent: Gnus/5.090006 (Oort Gnus v0.06) XEmacs/21.5 (beets,i686-pc-linux) Alors non, je n'essaierai pas un truc documenté comme ne pouvant pas marcher. Gnus est autiste, c'est tout. -+- ED in GFA : 'Sont fous ces emacsiens -+-
