Web Application Attack ...

[lgermain]

Est ce que qqn pourrais m'expliquer pourquoi ma log de détection des intrusions et pleines de cochoneries comme ça: <BR> <BR>Date: 04/03 11:16:48 Nom: WEB-IIS cmd.exe access <BR>Priorité: 1 Type: Web Application Attack <BR>Informations sur l'adresse IP: 80.14.175.248:1636 -> 80.14.173.184:80 <BR>Références: aucune entrée trouvée <BR> <BR>Ca veut dire quoi ? <BR> <BR>Merci <BR>

[OXO90]

Ca veut dire que quelqu'un tente, par l'intermédiaire de softs ou de scripts kiddies, d'exploiter les failles d'un serveur web, si tu n'as pas IIS ne t'inquiète pas ce problème ne conserve que lui. <BR> <BR> <BR>En revanche si tu as IIS, je te conseille vivement de le mettre à jour, et il existe un pack pour "remonter" la sécurité de celui-ci à un niveau plus élevé. Mais je n'ai plus le lien en tête .... <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>De plus Snort "en principe" doit les bloquer. <BR><IMG SRC="images/smiles/icon_boxe2.gif"> <BR>

[bruno]

Effectivement, il doit s'agir d'un gros bozo qui tente une intrusion par faille unicode. <BR> <IMG SRC="images/smiles/icon_boxe2.gif">

[lgermain]

Depuis quelques jours j'ai 5 ou 6 messages de ce genre qui reviennent toutes les heures ... <BR>Heureusement que je suis pas sous Zindows et dire qu'au boulot on se demande pourquoi on reçoit des virus à travers Lotus Notes avec comme expéditeur une adresse Interne.

[jean-bruno]

Il s'agit probablement de Nimbda. Une machine NT avec IIS est infectée et le vers-virus tente de se reproduire. Il est probable que le site source ne sait pas qu'il est infecté. Ou alors il s'agit d'une machine Winxx avec un IE non patché qui a reçu le virus rien qu'en visitant un site qui utilisait IIS et qui s'est fait attaqué. <BR> <BR>A mon idée, c'est la première qui est la bonne solution. Alors à moins que tu laisse entrer les paquets TCP sur le port 80 et que c'est redirigé vers une machnie NT avec un serveur web IIS, tu ne risques rien. Seule chose à faire, se connecter sur le site par son adresse IP (mais pas en utilisant IE, sans quoi on peut choper la maladie), et avertir le webmaster que son site est hacké par le virus Nimbda ou un dérivé.

[jmv]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>De plus Snort "en principe" doit les bloquer. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>euh, snort est un IDS, c'est à dire, Intrusion Detection System... <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Il ne fait que détecter les attaques de type intrusives... A moins de le customizer, il ne prend aucune action... <!-- BBCode Start --><IMG SRC="http://www.smilies.org/basesmilies/na.gif" BORDER="0"><!-- BBCode End --> <BR> <BR><BR><BR><font size=-2></font>

[cyrille]

Si tu veux un ids actif, 'faut se tourner vers portsentry et logcheck: <BR>portsentry bloque les scan et interdit ensuite l'ip donc dès que qq essaie de scanner ta machine, il est bloqué et fiché. De plus portsentry peut couper la connection en cas de scan (attention) et t'envoyer un message si tu as un serveur de messagerie (pour smoothwall, c'est rapé). Logcheck t'envoie des rapport via le mail d'activité suspect. J'ai écrit qq lignes là-dessus pour e-smith qu'il est peut-être possible d'adapter en partie seulement à smoothwall. <BR><!-- BBCode auto-link start --><a href="http://cyrille.balland.free.fr/site-esmith/securite/portsenty.htm" target="_blank">http://cyrille.balland.free.fr/site-esmith/securite/portsenty.htm</a><!-- BBCode auto-link end --> <BR>mais ai pas fini (pour ipchains et hostentry et logcheck, mince j'ai encore plein de boulot <IMG SRC="images/smiles/icon_find.gif"> )

[lgermain]

C'est du déril !! <BR>J'ai de plus en plus de messages ... <BR>Depuis midi j'ai plus de 80 messages qui apparaissent ?! <IMG SRC="images/smiles/icon_cussing.gif"> <BR>Est ce que d'autres personnes ont la même chose ??? <BR> <BR> <BR> <BR>Date: 04/04 15:15:52 Name: WEB-IIS cmd.exe access <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 80.11.139.132:3034 -> 80.14.173.184:80 <BR>References: none found <BR> <BR>

[jmv]

C'est clair que la première fois que tu installes un firewall (sous Windows ou sur une machine dédiée), tu es effaré par le nombre "d'attaques" que tu recois... <!-- BBCode Start --><IMG SRC="http://www.smilies.org/basesmilies/pengydie.gif" BORDER="0"><!-- BBCode End --> (même pas mal!) <BR> <BR>Je pense ne pas être le seul à témoigner de cela... <BR><!-- BBCode Start --><IMG SRC="http://www.smilies.org/basesmilies/Wow1.gif" BORDER="0"><!-- BBCode End --> <BR>

[Yann]

<IMG SRC="images/smiles/icon_frown.gif"> J'ai le même PB, <BR> <BR>le seul vrai problème si tu utilises Apache est un log monstrueux au niveau de Snort...et faut faire le ménage à la mano... <BR> <BR>Il existe des Applis qui permettent de faire le ménage dans les paquets suspects : <BR> <BR><!-- BBCode u2 Start --><A HREF="http://hogwash.sourceforge.net/" TARGET="_blank">Hogwash</A><!-- BBCode u2 End --> <BR><!-- BBCode u2 Start --><A HREF="http://www.chaotic.org/guardian/" TARGET="_blank">Guardian</A><!-- BBCode u2 End --> <BR>A tester... <IMG SRC="images/smiles/icon_confused.gif">

[cyrille]

Désolé Yann mais il semblerait que le lien vers guardian est mort

[jmv]

non, pas du tout... je viens juste de le lire à l'instant... <IMG SRC="images/smiles/icon_razz.gif">

[cyrille]

Je jure que tout à l'heure ca ne marchait pas <IMG SRC="images/smiles/icon_lol.gif">