[Mon Dec 16 19:34:30 2013] [error] [client 31.210.106.39] malformed header from script. Bad header=<b>Security Alert!</b> The PHP: php
[Mon Dec 16 19:59:06 2013] [error] [client 89.136.120.205] malformed header from script. Bad header=<b>Security Alert!</b> The PHP: php
Depuis un mois ou deux ça n'arrête pas. Pareil chez vous? (j'adore le
« Security Alert » )
Bien à vous
s.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20131216194222.GA1033@localhost
Le 16-12-2013, à 21:54:32 +0100, Sylvain L. Sauvage a écrit :
Le lundi 16 décembre 2013 21:23:59 Bzzz a écrit : > On Mon, 16 Dec 2013 20:42:22 +0100 > steve wrote: > > Rien chez moi, mais bon, c'est réellement "chez moi" > (auto-hébergement s/ ADSL).
« Chez moi », je n’ai que le 443 d’ouvert mais ça n’empêche pas les script-kiddies ou les bots de taper dedans (3–4 GET par jour).
T'as de la chance, « chez moi », ça n'arrête pas...je dois être particulièrement important ...:)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 16-12-2013, à 21:54:32 +0100, Sylvain L. Sauvage a écrit :
Le lundi 16 décembre 2013 21:23:59 Bzzz a écrit :
> On Mon, 16 Dec 2013 20:42:22 +0100
> steve <dlist@bluewin.ch> wrote:
>
> Rien chez moi, mais bon, c'est réellement "chez moi"
> (auto-hébergement s/ ADSL).
« Chez moi », je n’ai que le 443 d’ouvert mais ça n’empêche
pas les script-kiddies ou les bots de taper dedans (3–4 GET par
jour).
T'as de la chance, « chez moi », ça n'arrête pas...je dois être
particulièrement important ...:)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20131216210251.GB13355@localhost
Le 16-12-2013, à 21:54:32 +0100, Sylvain L. Sauvage a écrit :
Le lundi 16 décembre 2013 21:23:59 Bzzz a écrit : > On Mon, 16 Dec 2013 20:42:22 +0100 > steve wrote: > > Rien chez moi, mais bon, c'est réellement "chez moi" > (auto-hébergement s/ ADSL).
« Chez moi », je n’ai que le 443 d’ouvert mais ça n’empêche pas les script-kiddies ou les bots de taper dedans (3–4 GET par jour).
T'as de la chance, « chez moi », ça n'arrête pas...je dois être particulièrement important ...:)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Erwan David
Le 16/12/2013 21:54, Sylvain L. Sauvage a écrit :
Le lundi 16 décembre 2013 21:23:59 Bzzz a écrit :
On Mon, 16 Dec 2013 20:42:22 +0100 steve wrote:
Rien chez moi, mais bon, c'est réellement "chez moi" (auto-hébergement s/ ADSL).
« Chez moi », je n’ai que le 443 d’ouvert mais ça n’empêche pas les script-kiddies ou les bots de taper dedans (3–4 GET par jour).
J'en ai aussi su rmon serveur SMTP...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 16/12/2013 21:54, Sylvain L. Sauvage a écrit :
Le lundi 16 décembre 2013 21:23:59 Bzzz a écrit :
On Mon, 16 Dec 2013 20:42:22 +0100
steve <dlist@bluewin.ch> wrote:
Rien chez moi, mais bon, c'est réellement "chez moi"
(auto-hébergement s/ ADSL).
« Chez moi », je n’ai que le 443 d’ouvert mais ça n’empêche
pas les script-kiddies ou les bots de taper dedans (3–4 GET par
jour).
J'en ai aussi su rmon serveur SMTP...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/52AF6AC3.9080807@rail.eu.org
Rien chez moi, mais bon, c'est réellement "chez moi" (auto-hébergement s/ ADSL).
« Chez moi », je n’ai que le 443 d’ouvert mais ça n’empêche pas les script-kiddies ou les bots de taper dedans (3–4 GET par jour).
J'en ai aussi su rmon serveur SMTP...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
steve
Le 16-12-2013, à 21:56:47 +0100, Bzzz a écrit :
On Mon, 16 Dec 2013 21:50:09 +0100 steve wrote:
> Wai, ben justement, si je poste, c'est que j'observe que ce > n'est pas le cas. Au moment même où j'écris, les attaques > continuent. Sinon, je ne posterais pas.
? En tout cas, ça devrait pouvoir s'arrêter relativement facilement avec un filtre du genre fail2ban, non?
Fail2ban ne va pas arrêter cela, il va simplement éviter que les logs s'alourdissent. Mais je m'en tape finalement. Entre les lignes, je me demandais s'il n'existait pas un zero-day qui traîne dans la nature, ce qui *pourrait* expliquer cette recrudescence..You know ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 16-12-2013, à 21:56:47 +0100, Bzzz a écrit :
On Mon, 16 Dec 2013 21:50:09 +0100
steve <dlist@bluewin.ch> wrote:
> Wai, ben justement, si je poste, c'est que j'observe que ce
> n'est pas le cas. Au moment même où j'écris, les attaques
> continuent. Sinon, je ne posterais pas.
?
En tout cas, ça devrait pouvoir s'arrêter relativement
facilement avec un filtre du genre fail2ban, non?
Fail2ban ne va pas arrêter cela, il va simplement éviter que les logs
s'alourdissent. Mais je m'en tape finalement. Entre les lignes, je me
demandais s'il n'existait pas un zero-day qui traîne dans la nature, ce
qui *pourrait* expliquer cette recrudescence..You know ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20131216210050.GA13355@localhost
> Wai, ben justement, si je poste, c'est que j'observe que ce > n'est pas le cas. Au moment même où j'écris, les attaques > continuent. Sinon, je ne posterais pas.
? En tout cas, ça devrait pouvoir s'arrêter relativement facilement avec un filtre du genre fail2ban, non?
Fail2ban ne va pas arrêter cela, il va simplement éviter que les logs s'alourdissent. Mais je m'en tape finalement. Entre les lignes, je me demandais s'il n'existait pas un zero-day qui traîne dans la nature, ce qui *pourrait* expliquer cette recrudescence..You know ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
andre_debian
On Monday 16 December 2013 21:41:09 nb wrote:
J'ai à peu près la même chose, avec les mêmes ip sour ce.
/var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error] [pid 19838] [client 195.130.72.189:34087] malformed header from script 'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Monday 16 December 2013 21:41:09 nb wrote:
J'ai à peu près la même chose, avec les mêmes ip sour ce.
/var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error]
[pid 19838] [client 195.130.72.189:34087] malformed header from script
'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201312162214.20292.andre_debian@numericable.fr
J'ai à peu près la même chose, avec les mêmes ip sour ce.
/var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error] [pid 19838] [client 195.130.72.189:34087] malformed header from script 'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
steve
Le 16-12-2013, à 22:07:23 +0100, Bzzz a écrit :
On Mon, 16 Dec 2013 22:00:50 +0100 steve wrote:
> Fail2ban ne va pas arrêter cela, il va simplement éviter que les > logs s'alourdissent. Mais je m'en tape finalement. Entre les > lignes, je me demandais s'il n'existait pas un zero-day qui traîne > dans la nature, ce qui *pourrait* expliquer cette > recrudescence..You know ?
Il y a eu une MàJ de sécurité de PHP dans les derniers jours, avec une publication chez full-disclosure; ceci explique sans doute cela.
Debian stable est à la traine ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 16-12-2013, à 22:07:23 +0100, Bzzz a écrit :
On Mon, 16 Dec 2013 22:00:50 +0100
steve <dlist@bluewin.ch> wrote:
> Fail2ban ne va pas arrêter cela, il va simplement éviter que les
> logs s'alourdissent. Mais je m'en tape finalement. Entre les
> lignes, je me demandais s'il n'existait pas un zero-day qui traîne
> dans la nature, ce qui *pourrait* expliquer cette
> recrudescence..You know ?
Il y a eu une MàJ de sécurité de PHP dans les derniers jours,
avec une publication chez full-disclosure; ceci explique
sans doute cela.
Debian stable est à la traine ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20131216213150.GA19216@localhost
> Fail2ban ne va pas arrêter cela, il va simplement éviter que les > logs s'alourdissent. Mais je m'en tape finalement. Entre les > lignes, je me demandais s'il n'existait pas un zero-day qui traîne > dans la nature, ce qui *pourrait* expliquer cette > recrudescence..You know ?
Il y a eu une MàJ de sécurité de PHP dans les derniers jours, avec une publication chez full-disclosure; ceci explique sans doute cela.
Debian stable est à la traine ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
steve
Le 16-12-2013, à 22:14:20 +0100, André Debian a écrit :
On Monday 16 December 2013 21:41:09 nb wrote: > J'ai à peu près la même chose, avec les mêmes ip source. > > /var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error] > [pid 19838] [client 195.130.72.189:34087] malformed header from script > 'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
Une idée géniale ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 16-12-2013, à 22:14:20 +0100, André Debian a écrit :
On Monday 16 December 2013 21:41:09 nb wrote:
> J'ai à peu près la même chose, avec les mêmes ip source.
>
> /var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error]
> [pid 19838] [client 195.130.72.189:34087] malformed header from script
> 'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
Une idée géniale ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20131216213227.GB19216@localhost
Le 16-12-2013, à 22:14:20 +0100, André Debian a écrit :
On Monday 16 December 2013 21:41:09 nb wrote: > J'ai à peu près la même chose, avec les mêmes ip source. > > /var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error] > [pid 19838] [client 195.130.72.189:34087] malformed header from script > 'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
Une idée géniale ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean-Michel OLTRA
Bonjour,
Le lundi 16 décembre 2013, steve a écrit...
Fail2ban ne va pas arrêter cela, il va simplement éviter que les logs s'alourdissent. Mais je m'en tape finalement. Entre les lignes, je me demandais s'il n'existait pas un zero-day qui traîne dans la nature, ce qui *pourrait* expliquer cette recrudescence..You know ?
Nous le subissons également. Avec Ossec, et sa réponse active, les abrutis qui lancent ce machin sont rapidement blacklistés.
-- jm
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonjour,
Le lundi 16 décembre 2013, steve a écrit...
Fail2ban ne va pas arrêter cela, il va simplement éviter que les logs
s'alourdissent. Mais je m'en tape finalement. Entre les lignes, je me
demandais s'il n'existait pas un zero-day qui traîne dans la nature, ce
qui *pourrait* expliquer cette recrudescence..You know ?
Nous le subissons également. Avec Ossec, et sa réponse active, les
abrutis qui lancent ce machin sont rapidement blacklistés.
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20131216213114.GE5579@espinasse
Fail2ban ne va pas arrêter cela, il va simplement éviter que les logs s'alourdissent. Mais je m'en tape finalement. Entre les lignes, je me demandais s'il n'existait pas un zero-day qui traîne dans la nature, ce qui *pourrait* expliquer cette recrudescence..You know ?
Nous le subissons également. Avec Ossec, et sa réponse active, les abrutis qui lancent ce machin sont rapidement blacklistés.
-- jm
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean-Jacques Doti
Salut,
Le 16/12/2013 22:32, steve a écrit :
Le 16-12-2013, à 22:14:20 +0100, André Debian a écrit :
On Monday 16 December 2013 21:41:09 nb wrote:
J'ai à peu près la même chose, avec les mêmes ip source.
/var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error] [pid 19838] [client 195.130.72.189:34087] malformed header from script 'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
Une idée géniale ?
Bon et bien j'ai aussi pas mal de requêtes de ce type sur un serveur Apache (également chez moi en ADSL). Apparemment, les requêtes sont faites directement sur l'adresse IP (sans utiliser de nom de machine/site dans les headers HTTP) : sur un autre serveur, Il semble qu'une règle iptables dans ce genre bloque la plupart de ces tentatives :
-A INPUT -p tcp -m tcp --dport 80 -m string --string "Host: xxx.xxx.xxx.xxx" --algo bm --to 600 -j DROP (xxx.xxx.xxx.xxx est l'adresse IP publique du serveur HTTP).
Les stats font apparaître près de 600 requêtes bloquées en 10 heures…
A+ Jean-Jacques
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Salut,
Le 16/12/2013 22:32, steve a écrit :
Le 16-12-2013, à 22:14:20 +0100, André Debian a écrit :
On Monday 16 December 2013 21:41:09 nb wrote:
J'ai à peu près la même chose, avec les mêmes ip source.
/var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error]
[pid 19838] [client 195.130.72.189:34087] malformed header from script
'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
Une idée géniale ?
Bon et bien j'ai aussi pas mal de requêtes de ce type sur un serveur
Apache (également chez moi en ADSL). Apparemment, les requêtes sont
faites directement sur l'adresse IP (sans utiliser de nom de
machine/site dans les headers HTTP) : sur un autre serveur, Il semble
qu'une règle iptables dans ce genre bloque la plupart de ces tentatives :
-A INPUT -p tcp -m tcp --dport 80 -m string --string "Host:
xxx.xxx.xxx.xxx" --algo bm --to 600 -j DROP
(xxx.xxx.xxx.xxx est l'adresse IP publique du serveur HTTP).
Les stats font apparaître près de 600 requêtes bloquées en 10 heures…
A+
Jean-Jacques
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/52B038B8.3080408@doti.fr
Le 16-12-2013, à 22:14:20 +0100, André Debian a écrit :
On Monday 16 December 2013 21:41:09 nb wrote:
J'ai à peu près la même chose, avec les mêmes ip source.
/var/log/apache2/error.log:[Sun Dec 15 13:05:38.268946 2013] [cgi:error] [pid 19838] [client 195.130.72.189:34087] malformed header from script 'php': Bad header: <b>Security Alert!</b> The PHP
ça doit être un script PHP <header .... > qui fait pas l'affaire ...
Une idée géniale ?
Bon et bien j'ai aussi pas mal de requêtes de ce type sur un serveur Apache (également chez moi en ADSL). Apparemment, les requêtes sont faites directement sur l'adresse IP (sans utiliser de nom de machine/site dans les headers HTTP) : sur un autre serveur, Il semble qu'une règle iptables dans ce genre bloque la plupart de ces tentatives :
-A INPUT -p tcp -m tcp --dport 80 -m string --string "Host: xxx.xxx.xxx.xxx" --algo bm --to 600 -j DROP (xxx.xxx.xxx.xxx est l'adresse IP publique du serveur HTTP).
Les stats font apparaître près de 600 requêtes bloquées en 10 heures…
A+ Jean-Jacques
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Stéphane GARGOLY
Bonjour à tous les utilisateurs et développeurs de Debian :
Le 16/12/2013, steve a écrit :
C'est seulement chez moi, ou on observe une recrudescence d'attaque de script kiddie ? Exemples tiré du syslog:
[Mon Dec 16 19:34:30 2013] [error] [client 31.210.106.39] malformed heade r from script. Bad header=<b>Security Alert!</b> The PHP: php [Mon Dec 16 19:59:06 2013] [error] [client 89.136.120.205] malformed head er from script. Bad header=<b>Security Alert!</b> The PHP: php
Chez moi, au niveau du fichier /var/log/syslog et entre 10h00 UTC du 16/12/13 et 9h59 UTC du 17/12/13, je n'ai rien remarqué d'anormal ou d'inhabituel.
Mais bon, sur mon ordinateur de bureau, je n'ai installé aucun paquet fournissant le service "httpd" - voir la page http://packages.debian.org/squeeze/httpd (mais je pense que c'est la même liste pour Wheezy) - donc peut-être que je ne suis pas concerné...
Depuis un mois ou deux ça n'arrête pas. Pareil chez vous? (j'adore le « Security Alert » )
Et c'est maintenant que tu réagis ? o:-)
Cordialement et à bientôt,
Stéphane.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonjour à tous les utilisateurs et développeurs de Debian :
Le 16/12/2013, steve<dlist@bluewin.ch> a écrit :
C'est seulement chez moi, ou on observe une recrudescence d'attaque
de script kiddie ? Exemples tiré du syslog:
[Mon Dec 16 19:34:30 2013] [error] [client 31.210.106.39] malformed heade r
from script. Bad header=<b>Security Alert!</b> The PHP: php
[Mon Dec 16 19:59:06 2013] [error] [client 89.136.120.205] malformed head er
from script. Bad header=<b>Security Alert!</b> The PHP: php
Chez moi, au niveau du fichier /var/log/syslog et entre 10h00 UTC du
16/12/13 et 9h59 UTC du 17/12/13, je n'ai rien remarqué d'anormal ou
d'inhabituel.
Mais bon, sur mon ordinateur de bureau, je n'ai installé aucun paquet
fournissant le service "httpd" - voir la page
http://packages.debian.org/squeeze/httpd (mais je pense que c'est la
même liste pour Wheezy) - donc peut-être que je ne suis pas
concerné...
Depuis un mois ou deux ça n'arrête pas. Pareil chez vous? (j'adore le
« Security Alert » )
Et c'est maintenant que tu réagis ? o:-)
Cordialement et à bientôt,
Stéphane.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAAqHXE5fhAXLJkqzaE-B6mVn3qKBccShvw--QEOFJ6QhgqLhSw@mail.gmail.com
Bonjour à tous les utilisateurs et développeurs de Debian :
Le 16/12/2013, steve a écrit :
C'est seulement chez moi, ou on observe une recrudescence d'attaque de script kiddie ? Exemples tiré du syslog:
[Mon Dec 16 19:34:30 2013] [error] [client 31.210.106.39] malformed heade r from script. Bad header=<b>Security Alert!</b> The PHP: php [Mon Dec 16 19:59:06 2013] [error] [client 89.136.120.205] malformed head er from script. Bad header=<b>Security Alert!</b> The PHP: php
Chez moi, au niveau du fichier /var/log/syslog et entre 10h00 UTC du 16/12/13 et 9h59 UTC du 17/12/13, je n'ai rien remarqué d'anormal ou d'inhabituel.
Mais bon, sur mon ordinateur de bureau, je n'ai installé aucun paquet fournissant le service "httpd" - voir la page http://packages.debian.org/squeeze/httpd (mais je pense que c'est la même liste pour Wheezy) - donc peut-être que je ne suis pas concerné...
Depuis un mois ou deux ça n'arrête pas. Pareil chez vous? (j'adore le « Security Alert » )
Et c'est maintenant que tu réagis ? o:-)
Cordialement et à bientôt,
Stéphane.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
andre_debian
On Tuesday 17 December 2013 12:42:48 Jean-Jacques Doti wrote:
Il semble qu'une règle iptables dans ce genre bloque la plupart de ces tentatives : -A INPUT -p tcp -m tcp --dport 80 -m string --string "Host: xxx.xxx.xxx.xxx" --algo bm --to 600 -j DROP
Peut-on utiliser la syntaxe de cette règle iptables telle quelle ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Tuesday 17 December 2013 12:42:48 Jean-Jacques Doti wrote:
Il semble qu'une règle iptables dans ce genre bloque la plupart de
ces tentatives :
-A INPUT -p tcp -m tcp --dport 80 -m string --string "Host:
xxx.xxx.xxx.xxx" --algo bm --to 600 -j DROP
Peut-on utiliser la syntaxe de cette règle iptables telle quelle ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201312171730.23074.andre_debian@numericable.fr
On Tuesday 17 December 2013 12:42:48 Jean-Jacques Doti wrote:
Il semble qu'une règle iptables dans ce genre bloque la plupart de ces tentatives : -A INPUT -p tcp -m tcp --dport 80 -m string --string "Host: xxx.xxx.xxx.xxx" --algo bm --to 600 -j DROP
Peut-on utiliser la syntaxe de cette règle iptables telle quelle ?
