veuillez pardonner la naïveté de ma question, mais je ne suis qu'un
hébergeur "amateur"
J'ai chez moi dans ma cave un serveur apache qui tourne avec php au-dessus,
et j'héberge quelques sites perso, tout ça avec l'offre wanadoo Xtense, donc
du pur amateur.
J'ai régulièrement des tentatives de hack : soit des CONNECT à un autre site
sur un port tordu (genre CONNECT 212.32.4.26:16667 HTTP/1.0 ou bien CONNECT
209.98.98.116:25 HTTP/1.0 voire CONNECT 1.3.3.7:1337 HTTP/1.0) soit les
fameuses failles d'IIS (genre SEARCH /\x90\x02\xb1\x02 etc. ou bien GET
/default.ida?XXXXXXX etc.) voire des commandes incongrues mais dont je ne
suis pas sûr que ce soient des Hack (genre HEAD ou bien OPTIONS)
Ma question est : dois-je ignorer ceci, en m'assurant qu'il n'y a pas de
conséquence facheuse (je suis toujours à jour de la dernière relase
d'apache), ou bien faut-il les reporter quelques part, un lieu de dépôt des
tentatives de hack en quelque sorte.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicob
On Sun, 09 Jan 2005 17:27:10 +0000, SvS wrote:
Ma question est : dois-je ignorer ceci, en m'assurant qu'il n'y a pas de conséquence facheuse (je suis toujours à jour de la dernière relase d'apache), ou bien faut-il les reporter quelques part, un lieu de dépôt des tentatives de hack en quelque sorte.
Le rapport "gain en sécurité"/"temps passé sur l'incident" penche très largement pour la première solution : blinder sa machine de sorte à résister aux kiddies (et donc à 99% des attaques), et bien examiner ses logs ...
Nicob
On Sun, 09 Jan 2005 17:27:10 +0000, SvS wrote:
Ma question est : dois-je ignorer ceci, en m'assurant qu'il n'y a pas de
conséquence facheuse (je suis toujours à jour de la dernière relase
d'apache), ou bien faut-il les reporter quelques part, un lieu de dépôt des
tentatives de hack en quelque sorte.
Le rapport "gain en sécurité"/"temps passé sur l'incident" penche très
largement pour la première solution : blinder sa machine de sorte à
résister aux kiddies (et donc à 99% des attaques), et bien examiner ses
logs ...
Ma question est : dois-je ignorer ceci, en m'assurant qu'il n'y a pas de conséquence facheuse (je suis toujours à jour de la dernière relase d'apache), ou bien faut-il les reporter quelques part, un lieu de dépôt des tentatives de hack en quelque sorte.
Le rapport "gain en sécurité"/"temps passé sur l'incident" penche très largement pour la première solution : blinder sa machine de sorte à résister aux kiddies (et donc à 99% des attaques), et bien examiner ses logs ...
Nicob
Xavier Roche
SvS wrote:
J'ai régulièrement des tentatives de hack : soit des CONNECT à un autre site sur un port tordu (genre CONNECT 212.32.4.26:16667 HTTP/1.0 ou bien CONNECT Ma question est : dois-je ignorer ceci, en m'assurant qu'il n'y a pas de
Ce sont en général des tentatives de compromission de la part de trojans cherchant une nouvelle cible (certains ont une batterie complète de systèmes de compreomission: Attaques DCOM, port 139, attaques IIS, etc.). La seule chose à faire serait de signaler l'IP au fournisseur et le prévenir que le client correspondant est probablement infecté par un virus, et que sa machine est peut être utilisée à son insu. Et, de temps en temps, quelques script-kiddies qui trainent.
SvS wrote:
J'ai régulièrement des tentatives de hack : soit des CONNECT à un autre site
sur un port tordu (genre CONNECT 212.32.4.26:16667 HTTP/1.0 ou bien CONNECT
Ma question est : dois-je ignorer ceci, en m'assurant qu'il n'y a pas de
Ce sont en général des tentatives de compromission de la part de trojans
cherchant une nouvelle cible (certains ont une batterie complète de
systèmes de compreomission: Attaques DCOM, port 139, attaques IIS,
etc.). La seule chose à faire serait de signaler l'IP au fournisseur et
le prévenir que le client correspondant est probablement infecté par un
virus, et que sa machine est peut être utilisée à son insu. Et, de temps
en temps, quelques script-kiddies qui trainent.
J'ai régulièrement des tentatives de hack : soit des CONNECT à un autre site sur un port tordu (genre CONNECT 212.32.4.26:16667 HTTP/1.0 ou bien CONNECT Ma question est : dois-je ignorer ceci, en m'assurant qu'il n'y a pas de
Ce sont en général des tentatives de compromission de la part de trojans cherchant une nouvelle cible (certains ont une batterie complète de systèmes de compreomission: Attaques DCOM, port 139, attaques IIS, etc.). La seule chose à faire serait de signaler l'IP au fournisseur et le prévenir que le client correspondant est probablement infecté par un virus, et que sa machine est peut être utilisée à son insu. Et, de temps en temps, quelques script-kiddies qui trainent.
Xavier Roche
Nicob wrote:
blinder sa machine de sorte à résister aux kiddies (et donc à 99% des attaques)
Je dirais plutôt 99% d'attaques de virus, et 99% des 1% restants de script-kiddies.
Nicob wrote:
blinder sa machine de sorte à
résister aux kiddies (et donc à 99% des attaques)
Je dirais plutôt 99% d'attaques de virus, et 99% des 1% restants de
script-kiddies.
blinder sa machine de sorte à résister aux kiddies (et donc à 99% des attaques)
Je dirais plutôt 99% d'attaques de virus, et 99% des 1% restants de script-kiddies.
Stephane
Personne n'a jamais pensé à faire un site avec une base MySQL pour que toutes les tentative de connexion y soient envoyés ?
Je pense pas que ça demanderai beaucoup d'effort... Un ptit script qui une fois par jour/semaine/mois formate un fichier log et envoie l'ip, la date, l'host, et le port au site-de-rescencement.
Là comme ça à froid je sais pas quelle utilité ça pourrait avoir, mais en cherchant un ptit peu je suis sûr qu'on pourrait en trouver une ...
On aurait la possibilité de faire des stats par ISP ou par IP/host ... les mails d'abuse pourraient etre envoyé à partir de ce site et avoir + d'impact... on pourrait établir des blacklist ... voir s'il ya une régularité dans les heures/date/port ou faire des corrélation, etc..
je suis sûr qu'il peut y avoir de l'idée là dessous ...
Personne n'a jamais pensé à faire un site avec une base MySQL pour que
toutes les tentative de connexion y soient envoyés ?
Je pense pas que ça demanderai beaucoup d'effort...
Un ptit script qui une fois par jour/semaine/mois formate un fichier log et
envoie l'ip, la date, l'host, et le port au site-de-rescencement.
Là comme ça à froid je sais pas quelle utilité ça pourrait avoir, mais en
cherchant un ptit peu je suis sûr qu'on pourrait en trouver une ...
On aurait la possibilité de faire des stats par ISP ou par IP/host ... les
mails d'abuse pourraient etre envoyé à partir de ce site et avoir +
d'impact... on pourrait établir des blacklist ... voir s'il ya une
régularité dans les heures/date/port ou faire des corrélation, etc..
je suis sûr qu'il peut y avoir de l'idée là dessous ...
Personne n'a jamais pensé à faire un site avec une base MySQL pour que toutes les tentative de connexion y soient envoyés ?
Je pense pas que ça demanderai beaucoup d'effort... Un ptit script qui une fois par jour/semaine/mois formate un fichier log et envoie l'ip, la date, l'host, et le port au site-de-rescencement.
Là comme ça à froid je sais pas quelle utilité ça pourrait avoir, mais en cherchant un ptit peu je suis sûr qu'on pourrait en trouver une ...
On aurait la possibilité de faire des stats par ISP ou par IP/host ... les mails d'abuse pourraient etre envoyé à partir de ce site et avoir + d'impact... on pourrait établir des blacklist ... voir s'il ya une régularité dans les heures/date/port ou faire des corrélation, etc..
je suis sûr qu'il peut y avoir de l'idée là dessous ...
