Nullette Posté 27 Octobre 2004 Posté 27 Octobre 2004 Bonjour, je ne sais pas dans quelle rubrique poster cette question. Dans mon fichier log je reçois quotidiennement ce genre de log : 26/10/2004 11:14:03 213.173.180.122: GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=5606&STRMVER=4&CAPREQ=0 (File does not exist: /home/xxxxx/_vti_bin/owssvr.dll) Ref: 26/10/2004 11:14:03 213.173.180.122: GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=5606&STRMVER=4&CAPREQ=0 (File does not exist: Savez-vous ce que cela signifie ?
Remi Posté 27 Octobre 2004 Posté 27 Octobre 2004 (modifié) Ce sont des gens qui surfent avec frontpage ou avec un soft qui cherche les extensions Fontpage. Y'en a toujours dans les logs, ça fait plein de 404. Rien à faire de spécial. Modifié 27 Octobre 2004 par Remi
Stephane Posté 27 Octobre 2004 Posté 27 Octobre 2004 Ca ressemble beaucoup à des virus de type CodeRed ou Nimda. Mais si tu es sur serveur Unix/Apache, normalement il n'y a rien à craindre.
Dan Posté 27 Octobre 2004 Posté 27 Octobre 2004 Je dirais comme Remi, ce sont les fichiers types demandés par FrontPage pour charger les extensions ... pas de quoi s'inquiéter.
Stephane Posté 27 Octobre 2004 Posté 27 Octobre 2004 Les hits sur /_vti_bin/owssvr.dll et /MSOffice/cltreq.asp sont bien une des caractéristiques de Nimda, un worm qui exploite les vulnérabilités de certains serveurs IIS. Si tu vois en plus du get_mem_bin Root.exe CMD.EXE Getadmin.dll et Default.IDA ça confirmerait que ce soit bien Nimda (ou une de ses nombreuses variantes)
Nullette Posté 28 Octobre 2004 Auteur Posté 28 Octobre 2004 Merci pour vos réponses. Mon hébergeur est sur Unix. J'ai regardé ce matin, il n'y a pas de root.exe et autres. Je ne savais pas qu'on pouvait surfer avec frontpage. Est-ce que ça voudrait dire que quelqu'un a téléchargé mon site et irait sur le net pour voir si telle page a changé ? &STRMVER=4&CAPREQ=0 (File does not exist: /home/xxxxx/MSOffice/cltreq.asp) Ref: 27/10/2004 20:14:31 213.103.213.126: GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=5606 Après home il y a la référence de mon site sur le serveur, n'est-ce pas inquiétant ?
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant