[centos 5.1] attaque ?

List overview All Threads
Download

newer

older

ftp errreur 553 could not create...

Kernel panic!!!

Landron Gérard

28 May 2008 28 May '08

3:50 p.m.

Bonsoir,

dans les mail de root d e mon serveur je trouve ceci :

A total of 1 sites probed the server 82.75.203.204 A total of 1 possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit): /_vti_bin/_vti_aut/fp30reg.dll HTTP Response 301

Dois-je m'en inquiéter ?

Dans mon log http je trouve : 82.75.203.204 - - [27/May/2008:19:08:07 +0200] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H ----------j'ai bien sûr tronqué la ligne qui n'en fini pas--------- 82.75.203.204 - - [27/May/2008:19:08:07 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 301 261

Merci

Gérard

Show replies by date

Guillaume Kulakowsi

28 May 28 May

4:05 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Bonjour,

des PC zombie (j'ai pas dit sous Windows) qui attaque à tout va des failles connues. J'en ai tout les jours ils attaques les failles connues phpMyAdmin/Joomla/phpBB, etc... Même si tu n'a pas instalé le script. Fail2ban + les mods apache qui vont bien évitent le pire.

Cordialement.

Landron Gérard a écrit : | Bonsoir, | | dans les mail de root d e mon serveur je trouve ceci : | | A total of 1 sites probed the server | 82.75.203.204 | A total of 1 possible successful probes were detected (the following URLs | contain strings that match one or more of a listing of strings that | indicate a possible exploit): | /_vti_bin/_vti_aut/fp30reg.dll HTTP Response 301 | | Dois-je m'en inquiéter ? | | Dans mon log http je trouve : | 82.75.203.204 - - [27/May/2008:19:08:07 | +0200] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H | ----------j'ai bien sûr tronqué la ligne qui n'en fini pas--------- | 82.75.203.204 - - [27/May/2008:19:08:07 | +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 301 261 | | Merci | | Gérard | _______________________________________________ | CentOS-fr mailing list | CentOS-fr@centos.org | http://lists.centos.org/mailman/listinfo/centos-fr | |

- -- Guillaume Kulakowski French Fedora Ambassador http://fedoraproject.org/wiki/GuillaumeKulakowski Webmaster of the French Fedora Core related website http://www.fedora-fr.org Jabber : llaumgui@jabber.ru MSN Messenger : llaumgui@hotmail.com

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.7 (GNU/Linux) Comment: Using GnuPG with Remi - http://enigmail.mozdev.org iD8DBQFIPbsKGL+mH11RLJcRAnMLAJ9RCirzZrPVc0UexpONa8M1Fv6GqQCeNS0X MVEy7eP1r6HShHK72zHLfMU= =ztSF -----END PGP SIGNATURE-----

guillemo

4:10 p.m.

bonsoir

il s'agit d'une attaque sur Les FrontPage Server Extensions (FPSE) de IIS4.0 et 5.0 (Windows). Ta présence sur cette liste laisse penser que ce n'est pas ce que tu utilises. j'ai plus de mal à comprendre pour ton serveur réponds le code 301 (Document déplacé de façon permanente) et pas 404 (document non trouvé).

J'ai aussi une question quelle est l'appli qui t'envoie ce mail?

On Wed, 28 May 2008 21:50:41 +0200, Landron Gérard wrote

...

Bonsoir,

dans les mail de root d e mon serveur je trouve ceci :

A total of 1 sites probed the server 82.75.203.204 A total of 1 possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit): /_vti_bin/_vti_aut/fp30reg.dll HTTP Response 301

Dois-je m'en inquiéter ?

Dans mon log http je trouve : 82.75.203.204 - - [27/May/2008:19:08:07 +0200] "SEARCH

/\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H

...

----------j'ai bien sûr tronqué la ligne qui n'en fini pas--------- 82.75.203.204 - - [27/May/2008:19:08:07 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 301 261

Merci

Gérard _______________________________________________ CentOS-fr mailing list CentOS-fr@centos.org http://lists.centos.org/mailman/listinfo/centos-fr

-- Open WebMail Project (http://openwebmail.org)

Guillaume Kulakowsi

4:29 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Lut,

| j'ai plus de mal à comprendre pour ton serveur réponds le code 301 | Document déplacé de façon permanente) et pas 404 (document non | trouvé). urlrewriting ?

Cordialement.

guillemo a écrit : | bonsoir | | il s'agit d'une attaque sur Les FrontPage Server Extensions (FPSE) de IIS4.0 et 5.0 | (Windows). | Ta présence sur cette liste laisse penser que ce n'est pas ce que tu utilises. | j'ai plus de mal à comprendre pour ton serveur réponds le code 301 (Document déplacé de | façon permanente) et pas 404 (document non trouvé). | | | J'ai aussi une question quelle est l'appli qui t'envoie ce mail? | | jf | | | On Wed, 28 May 2008 21:50:41 +0200, Landron Gérard wrote |> Bonsoir, |> |> dans les mail de root d e mon serveur je trouve ceci : |> |> A total of 1 sites probed the server |> 82.75.203.204 |> A total of 1 possible successful probes were detected (the following URLs |> contain strings that match one or more of a listing of strings that |> indicate a possible exploit): |> /_vti_bin/_vti_aut/fp30reg.dll HTTP Response 301 |> |> Dois-je m'en inquiéter ? |> |> Dans mon log http je trouve : |> 82.75.203.204 - - [27/May/2008:19:08:07 |> +0200] "SEARCH | /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H |> ----------j'ai bien sûr tronqué la ligne qui n'en fini pas--------- |> 82.75.203.204 - - [27/May/2008:19:08:07 |> +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 301 261

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.7 (GNU/Linux) Comment: Using GnuPG with Remi - http://enigmail.mozdev.org iD8DBQFIPcDBGL+mH11RLJcRAsjEAJ0Z3nNjbN85ZikLWdc3AmiZTwIVLwCfelD9 tG1qSs/YGNaQ54BP4FBKBTc= =ovmE -----END PGP SIGNATURE-----

Landron Gérard

29 May 29 May

2:27 a.m.

Le mercredi 28 mai 2008, guillemo a écrit :

...

bonsoir

il s'agit d'une attaque sur Les FrontPage Server Extensions (FPSE) de IIS4.0 et 5.0 (Windows). Ta présence sur cette liste laisse penser que ce n'est pas ce que tu utilises. j'ai plus de mal à comprendre pour ton serveur réponds le code 301 (Document déplacé de façon permanente) et pas 404 (document non trouvé).

J'ai aussi une question quelle est l'appli qui t'envoie ce mail?

jf

Les attaques je ne les compte plus ! ce sont surtout sur le ssh, vsftp et bien sûr phpmyadmin et consors. J'ai installé fail2ban mais s'il marche bien pour ssh pour vsftp et http, je n'ai pas encore trouvé les lignes qui vont bien ! C'est ce message qui implique une surveillance, mais par quoi ?, qui m'a intrigué de fait j'utilise urlrewriting en cas de page non trouvée

Merci

Gérard

6212

Age (days ago)

6213

Last active (days ago)

discuss-fr@lists.centos.org

4 comments

3 participants

tags (0)

participants (3)

Guillaume Kulakowsi
guillemo
Landron Gérard