Pratiquement tous les jours j'a un gars (robot ?) qui essaye les mêmes
overflows sans succé sur apache :
81.218.33.201 - - [11/Jun/2004:01:34:42 +0200] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
... et sa continue loin...
Et aussi
[Mon Jun 14 18:47:33 2004] [error] [client 81.56.172.103] Invalid URI in
request
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb
d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.1
L'adresse ip n'ai jamais la même, je suis chez free. Ce qui me parrait
étrange c'est qu'il y a tjs la même séquence, alors soit le mec est con,
soit c'est des robots qui scan ? Cela arrive au moin une fois par jour...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Vincent Hiribarren
In article <40d95307$0$19015$, says...
Pratiquement tous les jours j'a un gars (robot ?) qui essaye les mêmes overflows sans succé sur apache : 81.218.33.201 - - [11/Jun/2004:01:34:42 +0200] "SEARCH /x90x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1 [...]
L'adresse ip n'ai jamais la même, je suis chez free. Ce qui me parrait étrange c'est qu'il y a tjs la même séquence, alors soit le mec est con, soit c'est des robots qui scan ?
Des robots, ou... des vers. Mais vos deux étrangetés sont dirigés contre des serveurs IIS. Bref, pas contre apache. Ouf :)
La deuxième séquence est potentiellement dû à Code Red, d'après ce qu'indique Google : ne pas hésiter à copier coller une partie de ces logs dans un moteur de recherche, on arrive à savoir assez rapidement à quoi on a à faire.
In article <40d95307$0$19015$636a15ce@news.free.fr>,
nufsitting@caramail.com says...
Pratiquement tous les jours j'a un gars (robot ?) qui essaye les mêmes
overflows sans succé sur apache :
81.218.33.201 - - [11/Jun/2004:01:34:42 +0200] "SEARCH
/x90x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1
[...]
L'adresse ip n'ai jamais la même, je suis chez free. Ce qui me parrait
étrange c'est qu'il y a tjs la même séquence, alors soit le mec est con,
soit c'est des robots qui scan ?
Des robots, ou... des vers.
Mais vos deux étrangetés sont dirigés contre des serveurs IIS. Bref, pas
contre apache. Ouf :)
La deuxième séquence est potentiellement dû à Code Red, d'après ce
qu'indique Google : ne pas hésiter à copier coller une partie de ces logs
dans un moteur de recherche, on arrive à savoir assez rapidement à quoi
on a à faire.
Pratiquement tous les jours j'a un gars (robot ?) qui essaye les mêmes overflows sans succé sur apache : 81.218.33.201 - - [11/Jun/2004:01:34:42 +0200] "SEARCH /x90x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1x02xb1 [...]
L'adresse ip n'ai jamais la même, je suis chez free. Ce qui me parrait étrange c'est qu'il y a tjs la même séquence, alors soit le mec est con, soit c'est des robots qui scan ?
Des robots, ou... des vers. Mais vos deux étrangetés sont dirigés contre des serveurs IIS. Bref, pas contre apache. Ouf :)
La deuxième séquence est potentiellement dû à Code Red, d'après ce qu'indique Google : ne pas hésiter à copier coller une partie de ces logs dans un moteur de recherche, on arrive à savoir assez rapidement à quoi on a à faire.
