[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Re: POST sur SMTP

J'enverrais cette question sur une liste de "securitee" par exemple 
[email protected]. Il y a une bonne liste de ces listes sur le site 
de Fyodor, l'autheur de nmap ( http://lists.insecure.org/ )

Nicolas

On Wednesday 19 March 2003 05:45 pm, Nicolas Marchildon wrote:
> (comme ma question n'est pas spécifique à GNU/Linux, je poste sur
> general plutôt que aide)
>
> J'ai remarqué un pattern étrange dans les logs d'un serveur mail:
>
>
> SMTP connection from [66.28.236.92]:49913 (TCP/IP connection count = 8)
> SMTP connection from (ppdynlj) [66.28.236.92]:49913 lost
> SMTP connection from [202.54.30.58]:8775 (TCP/IP connection count = 8)
> SMTP syntax error in "POST / HTTP/1.0" H=[202.54.30.58]:8775
> unrecognized command
> SMTP syntax error in "Content-type: application/x-www-form-urlencoded"
> H=[202.54.30.58]:8775 unrecognized command
> SMTP syntax error in "Content-length: 3204" H=[202.54.30.58]:8775
> unrecognized command
> SMTP syntax error in "Connection: keep-alive" H=[202.54.30.58]:8775
> unrecognized command
> SMTP syntax error in "Via: 1.0 cache" H=[202.54.30.58]:8775 unrecognized
> command
> SMTP syntax error in "X-Forwarded-For: 66.28.236.92"
> H=[202.54.30.58]:8775 unrecognized command
> SMTP call from [202.54.30.58]:8775 dropped: too many unrecognized
> commands
>
>
> En gros, l'hôte A se connecte brièvement, puis l'hôte B tente de faire
> une requête HTTP en spécifiant que cette requête était pour l'hôte A.
>
> Ce qui est étrange est la relation entre les deux connexions. De plus,
> pourquoi est-ce qu'un hôte voudrait faire une requête sur le port 25 de
> mon serveur?
>
> Ce n'est pas la première fois que j'observe ceci. En effet, dans les
> derniers jours, 64.56.106.234 et 200.35.83.201 ont également fait un
> POST.
>
> Il s'agit peut-être d'un genre de worm, mais est-ce que quelqu'un sait
> exactement ce dont il s'agit?
>
> Nicolas