Re: Securite

To: debian-user-french@lists.debian.org
Subject: Re: Securite
From: Vincent Bernat <bernat@free.fr>
Date: Thu, 25 Dec 2003 12:07:42 -0800
Message-id: <[🔎] m3zndgbr01.fsf@neo.loria>
In-reply-to: <[🔎] WorldClient-F200312251945.AA45580115@maxg.info> (Charles Grellois's message of "Thu, 25 Dec 2003 19:45:58 +0100")
References: <[🔎] 20031225133219.GA9010@wanadoo.fr> <[🔎] WorldClient-F200312251945.AA45580115@maxg.info>

OoO En cette matinée pluvieuse du  jeudi 25 décembre 2003, vers 10:45,
"Charles Grellois" <charles@maxg.info> disait:

>> **apache/error.log:
>> #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait
>> long
>> [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/d/winnt/system32/cmd.exe
>> [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe
>> [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
>> [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
>> [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not
>> exist: /var/www/scripts/root.exe

> un peu blaireau sur les bords, il a d'abord cru que t'étais sous win
> NT. il a donc testé l'exploit classique, garanti script-kiddie

Ou alors un vers. C'est en tout cas très courant.

> 8 h plus tard, il  capte que t'es  sous linux et t'envoie un exploit
> pour apache, que tu devrais  d'ailleurs mettre à jour (1.3.26, c'est
> vraiment vieux comme version, maintenant ça s'appelle httpd et c'est
> en  version  2.0.?, j'ai oublié). utilises    aussi les mises à jour
> sécurité de debian (option à activer  dans apt-setup ou  par édition
> manuelle  du   /etc/apt/sources.list    ,   décommente   la    ligne
> correspondante)

La 1.3.26  est la dernière stable pour  Woody. Les correctifs pour les
failles sont backportées vers cette version.

>> **syslog:
>> Là c'est interessant car il a redemarré à 6H27 en créant un nouveau
>> fichier syslog.
>> #La fin de l'ancien; syslog.0
>> Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e
>> /usr/sbin/anacron || run-parts --report /etc/cron.daily)
>> #Et le debut du nouveau
>> Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.
>> 

> il doit  avoir l'habitude de  cracker du  windows,  ce qui  laisse à
> penser que son niveau  est assez bas : il  redémarre un  linux, sans
> doute pour appliquer  des modifications (!),  d'autant plus ridicule
> qu'il est root

C'est syslog qui fait un rotate  de ses logs. Regarde  tes logs, tu as
exactement la même chose.
-- 
BOFH excuse #285:
Telecommunications is upgrading.

Attachment: pgpDI_oS6x6uc.pgp
Description: PGP signature

Reply to:

References:
- Securite
  - From: "Paulo.debian" <paulo.debian@wanadoo.fr>
- Re: Securite
  - From: "Charles Grellois" <charles@maxg.info>

Prev by Date: Re: Securite
Next by Date: Re: xmms freeze qq minutes et démarre...
Previous by thread: Re: Securite
Next by thread: Re: Securite
Index(es):
- Date
- Thread