Journal des w4rl0dz plein mes logs...

Posté par  .
Étiquettes : aucune
0
3
juil.
2003
bon ben voila cher lecteur, j'en ai marre.
J'ai un serveur apache qui me sert pour tester mes scripts PHP et Python, il tourne donc quelques fois quand je suis connecté (la flemme de couper la connection, et c'est bien sympa de lire la tribune en moul^Wbossant).
Seulement voila, depuis quelques temps je retrouve plein de traces de jean-kevin dans mes logs, qui tentent de me na><0riser à coup d'exploit IIS... C'est pas excessivement gênant mais j'aimerai bien que ça s'arrête.

J'ai bien songé à écrire à l'ISP des zouaves en question, mais ça me plaît pas spécialement (la délation c'est quand même pas mon truc, et maintenant qu'on considère l'intrusion dans un système informatique comme du terrorisme, j'ai encore moins envie de rentrer là-dedans...)

Et vous, que faites-vous dans ces cas-là ? savez-vous quelque chose sur la politique des ISP quand ils reçoivent un mail à abuse@monISP ?

merci d'éclairer ma lanterne...

PS: quand zope tourne par contre, c'est le calme plat...

  • # Re: des w4rl0dz plein mes logs...

    Posté par  (site web personnel) . Évalué à 6.

    La plupart des tentatives sont le fait de vers (Code Red, Nimda et compagnie), donc tout ce que tu gagnes à contacter le propriétaire de la machine c'est de tomber sur un papy Mougeot qui n'y comprend rien à tes histoires et qui appelle la police (presque véridique). Autre possibilité, tu tombes sur une machine non-vérolée mais rootée, donc encore une fois sur un propriétaire qui n'y comprends rien et qui t'en veut à mort de suggérer que sa machine a un problème. Enfin, si par miracle tu tombes directement sur Jean-Kévin LeBoulet, 13 ans, tu fais quoi ? Tu appelles son papa pour qu'il le gronde ?

    • [^] # Re: des w4rl0dz plein mes logs...

      Posté par  . Évalué à -1.

      oui en effet, entre les vers, les troyens, les machines rootées, et les jean kevin .....

      Moi aussi j' en ai plein les logs....... A part ça windows est sécurisé.

      • [^] # Re: des w4rl0dz plein mes logs...

        Posté par  . Évalué à 4.

        Faut arrêter de répéter bêtement les phrases.

        Si les administrateurs mettaient un peu plus de bonne volonté à patcher leurs serveurs, y'aurait déjà plus de traces de Code Red.

        Installes une vieille version d'OpenSSL et couple là à ton Apache, on verra bien si ton serveur est toujours aussi sécurisé... http://www.securityfocus.com/bid/5363/(...)

  • # Re: des w4rl0dz plein mes logs...

    Posté par  (site web personnel) . Évalué à 4.

    <blockquote>
    Et vous, que faites-vous dans ces cas-là ?
    </blockquote>

    J'ignore ces tentatives, tout simplement.

    Sinon, vu que c'est un serveur de test, j'imagine alors que tes logs d'erreur peuvent te servir pour deboguer tes scripts. Pour éviter qu'ils soient pourris par les tentatives, change le port tcp d'Apache.

  • # Re: des w4rl0dz plein mes logs...

    Posté par  . Évalué à 1.

    C'est normale, il traine toujours des serveurs verollés un peut partout, et meme dans les plages d'adresses public d'ISP. En tant que client ayant des LS chez un ISP, j'avais signaler un serveur proche des miens à titre informatif au service tehnique pour que l'info remonte au client concerné qui avait du laissé sont serveur à l'abandon ;-), mais il me semble pas que c'est changé grand chose.
    Alors faire un mail à abuse@xxxx, autant te dire que ca sert strictement à rien.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 1.

      Ce commentaire a été supprimé par l’équipe de modération.

  • # Re: des w4rl0dz plein mes logs...

    Posté par  (site web personnel) . Évalué à 2.

    Si on devait signaler tout ceux qui sont infectés par code red/nimda, on est pas sorti de l'auberge. Actuellement j'enregistre une attaque code red toutes les demi-heures et une attaque nimda toutes les 3-4 heures.
    Mais pour éviter ces attaques, tu peux tout simplement bloquer le port 80 pour l'extérieur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.