/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Hackerangreb?
Fra : Michael Knudsen


Dato : 07-05-02 19:06

Hej!

Jeg har for nylig sat en http-server op. Jeg har bemærker, at der to
gange i dag er sket følgende (fra to forskellige ip-adresser):

12.233.85.42 - - [07/May/2002:18:09:26 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
NNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780\
1%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
\ HTTP/1.0" 400 330 "-" "-"

Er det noget, jeg skal frygte? Det kunne godt se ud, som om nogen prøvede
at lave noget skummelt. Hvis dette er tilfældet, er jeg mon så godt nok
garderet imod det?

-> Michael Knudsen

 
 
Alex Holst (07-05-2002)
Kommentar
Fra : Alex Holst


Dato : 07-05-02 19:13

Michael Knudsen <knudsen@imf.au.dk> wrote:
> Hej!
>
> Jeg har for nylig sat en http-server op. Jeg har bemærker, at der to
> gange i dag er sket følgende (fra to forskellige ip-adresser):

Google er din ven. Soeg efter default.ida -- det er et modul til
Microsoft's IIS som der blev fundet et hul i sidste aar. Code Red blev
naevnt i alle medier i en periode paa 14 dage, eller noget.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Peter Makholm (07-05-2002)
Kommentar
Fra : Peter Makholm


Dato : 07-05-02 19:16

Michael Knudsen <knudsen@imf.au.dk> writes:

> Er det noget, jeg skal frygte? Det kunne godt se ud, som om nogen prøvede
> at lave noget skummelt.

Ligner et Nimda-angreb. Den herskende orm på IIS-servere engang
tilbage i august. Er de ved at få en renæsance?

> Hvis dette er tilfældet, er jeg mon så godt nok garderet imod det?

Så længe du ikke bruger IIS burde du være sikker.

--
Peter Makholm | Have you ever felt trapped inside a Klein bottle?
peter@makholm.net |
http://hacking.dk |

Klaus Alexander Seis~ (07-05-2002)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 07-05-02 19:33

Peter Makholm skrev:

> Ligner et Nimda-angreb. Den herskende orm på IIS-servere engang
> tilbage i august. Er de ved at få en renæsance?

Der er ikke flere nu, end der hele tiden har været. Jeg har kørt
sådan en LaBrea tjærepøl i en hel del måneder efterhånden, og der
er til enhver tid mindst 4-5 orme i fælden (de får vristet sig
løs efterhånden). Jeg har ikke lavet formel statistik på tallene,
og for det meste får programmet lov til at pase sig selv, men mit
indtryk er at antallet af orme har været nogenlunde konstant i år.


// Klaus

--
><>    vandag, môre, altyd saam

Klaus Alexander Seis~ (07-05-2002)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 07-05-02 19:20

Michael Knudsen skrev:

> Det kunne godt se ud, som om nogen prøvede at lave noget skummelt.
> Hvis dette er tilfældet, er jeg mon så godt nok garderet imod det?

Så længe du ikke kører Windows, har du vist ikke noget at frygte -
det er en Windows-orm, der er på spil (og har været det *meget*
længe). Hm, jo, der var vist noget med en Cisco-router der kunne
gå i baglås hvis ormen forsøgte at bruge webinterfacet, men jeg
kan ikke huske detaljerne.

Hvis du har en eller flere ledige IP-adresser, så prøv at installere
LaBrea tjærepølen fra <http://www.hackbusters.net/LaBrea/>. Der
plejer ikke at gå lang tid (max ½ time) fra man har startet pro-
grammet, til den første orm (som din ovenfor) er gået i fælden.
Tsk-tsk.


// Klaus

--
><>    vandag, môre, altyd saam

Michael Knudsen (07-05-2002)
Kommentar
Fra : Michael Knudsen


Dato : 07-05-02 19:44

On Tue, 07 May 2002 20:20:04 +0200, Klaus Alexander Seistrup wrote:

> Så længe du ikke kører Windows, har du vist ikke noget at frygte - det
> er en Windows-orm, der er på spil (og har været det *meget* længe). Hm,
> jo, der var vist noget med en Cisco-router der kunne gå i baglås hvis
> ormen forsøgte at bruge webinterfacet, men jeg kan ikke huske
> detaljerne.

Hmmmm...jeg håber ikke, der sker noget me min Cisco 677 router

-> Michael Knudsen

Klaus Alexander Seis~ (07-05-2002)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 07-05-02 19:49

Michael Knudsen skrev:

> jeg håber ikke, der sker noget med min Cisco 677 router

cbos#set web dis


// Klaus

--
><>    vandag, môre, altyd saam

Jacob Bunk Nielsen (07-05-2002)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 07-05-02 20:19

Michael Knudsen <knudsen@imf.au.dk> writes:

>> [ ... ] Hm, jo, der var vist noget med en Cisco-router der kunne gå
>> i baglås hvis ormen forsøgte at bruge webinterfacet, men jeg kan
>> ikke huske detaljerne.
>
> Hmmmm...jeg håber ikke, der sker noget me min Cisco 677 router

Det gør der ikke når du har forwardet al indkommende trafik på port
80/tcp til din webserver.

Min Cisco 677 var nede i et par dage sidste sommer (mens jeg var på
ferie selvfølgelig) fordi jeg ikke havde forwardet port 80/tcp nogen
steder hen, og ikke havde flyttet den port webinterfacet lytter
på. Jeg havde ikke 'set web dis', som slår det der webhejs fra, men
det var ikke nok. SÃ¥ man kan lige lave en 'set web port 88' eller
lignende, og så er den helt sikker.

Blev det i øvrigt ikke fikset i CBOS 2.4.3? Det tror jeg nok.

--
Jacob - www.bunk.cc
Peace be to this house, and all that dwell in it.

Jacob Bunk Nielsen (07-05-2002)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 07-05-02 20:25

Klaus Alexander Seistrup <jakabov119@magnetic-ink.dk> writes:

> Michael Knudsen skrev:
>
>> jeg håber ikke, der sker noget med min Cisco 677 router
>
> cbos#set web dis

Det er ikke nok

Der skal en 'set web port 88' eller lignende til også.

--
Jacob - www.bunk.cc
Your talents will be recognized and suitably rewarded.

Rasmus Bøg Hansen (07-05-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 07-05-02 20:51

Jacob Bunk Nielsen wrote:

> Klaus Alexander Seistrup <jakabov119@magnetic-ink.dk> writes:
>
>> Michael Knudsen skrev:
>>
>>> jeg håber ikke, der sker noget med min Cisco 677 router
>>
>> cbos#set web dis
>
> Det er ikke nok
>
> Der skal en 'set web port 88' eller lignende til også.

Vil det sige, at webinterfacet er slået til på det eksterne interface og
ikke kan slås helt fra???

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
A computer without Windows, is like a fish without a bicycle.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Henrik Stidsen (08-05-2002)
Kommentar
Fra : Henrik Stidsen


Dato : 08-05-02 23:12

Rasmus =?ISO-8859-15?Q?B=F8g?= Hansen <moffe47@hotmail.com> wrote
in news:ab9b7t$erv$1@carlsberg.amagerkollegiet.dk

>>>> jeg håber ikke, der sker noget med min Cisco 677 router
>>>
>>> cbos#set web dis
>>
>> Det er ikke nok
>>
>> Der skal en 'set web port 88' eller lignende til også.
>
> Vil det sige, at webinterfacet er slået til på det eksterne
> interface og ikke kan slås helt fra???

nope, det er nok hvis du router port 80 til en intern adresse.
Jeg har min routet over til min servermaskine, jeg har *ingen*
problemer haft med at Nimda generede min router.

--
Henrik Stidsen | HS235-DK | Ikke eksisterende samleobjekt
http://min.hjemmeside.er.paa.http.kolon.2-x-skraastreg.susie.dk/
"These opinions are my own, though for a small fee they
be yours too." -- Dave Haynie

Klaus Alexander Seis~ (08-05-2002)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 08-05-02 05:08

Jacob Bunk Nielsen skrev:

>> cbos#set web dis
>
> Det er ikke nok
>
> Der skal en 'set web port 88' eller lignende til også.

Tak for tilføjelsen.


// Klaus

--
><>    vandag, môre, altyd saam

Jacob Bunk Nielsen (07-05-2002)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 07-05-02 21:22

Rasmus Bøg Hansen <moffe47@hotmail.com> writes:

>> [ Cisco 677 ]
>
> Vil det sige, at webinterfacet er slået til på det eksterne interface og
> ikke kan slås helt fra???

Ja, desværre.

Det er det samme med telnet. Du kan godt lave en 'set telnet remote
<min-ip>', men andre vil stadig kunne oprette TCP-forbindelsen,
hvorefter de bliver smidt af med det samme igen, ganske som du kender
det fra tcpwrappers.

Se her:

$ telnet router.bunk.cc
Trying 10.0.0.1...
Connected to router.bunk.cc.
Escape character is '^]'.
Connection closed by foreign host.
$

Den bedste måde at sikre sig er ved at lave en filterregel, men dem
kan man desværre kun lave 20 af.

--
Jacob - www.bunk.cc
Don't hit the keys so hard, it hurts.

Bo Simonsen (07-05-2002)
Kommentar
Fra : Bo Simonsen


Dato : 07-05-02 21:37

On Tue, 07 May 2002 20:06:00 +0200, Michael Knudsen wrote:


> 12.233.85.42 - - [07/May/2002:18:09:26 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
> NNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780\
> 1%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a \
> HTTP/1.0" 400 330 "-" "-"
>
> Er det noget, jeg skal frygte? Det kunne godt se ud, som om nogen
> prøvede at lave noget skummelt. Hvis dette er tilfældet, er jeg mon så
> godt nok garderet imod det?

Hvis du nu kikkede ikke error.log vil den nok vise en 404 kode, ud for det
angivne entry... og så skal man ikke tænke særligt langt, for at drage en
konklusion..

--
Med venlig hilsen
Bo Simonsen

Join the GNU generation

Adam Sjøgren (07-05-2002)
Kommentar
Fra : Adam Sjøgren


Dato : 07-05-02 21:46

On Tue, 07 May 2002 22:37:25 +0200, Bo Simonsen wrote:

>> \ HTTP/1.0" 400 330 "-" "-"

> Hvis du nu kikkede ikke error.log vil den nok vise en 404 kode,

Næppe, da der står 400 ovenfor (400 Bad Request).


,

--
"Alla sammanträffande med verkligheten är helt Adam Sjøgren
slumpmässiga, alla melodier är påhittade." asjo@koldfront.dk

Bo Simonsen (08-05-2002)
Kommentar
Fra : Bo Simonsen


Dato : 08-05-02 21:39

On Tue, 07 May 2002 22:46:01 +0200, Adam Sjøgren wrote:

> Næppe, da der står 400 ovenfor (400 Bad Request).

Ja en trykfjæl ;)

--
Med venlig hilsen
Bo Simonsen

Join the GNU generation

Peter Brodersen (07-05-2002)
Kommentar
Fra : Peter Brodersen


Dato : 07-05-02 23:26

On Tue, 07 May 2002 22:37:25 +0200, Bo Simonsen <paltas@geekworld.dk>
wrote:

>> 12.233.85.42 - - [07/May/2002:18:09:26 +0200] "GET
>> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
[..]
>> HTTP/1.0" 400 330 "-" "-"
>Hvis du nu kikkede ikke error.log vil den nok vise en 404 kode, ud for det
>angivne entry... og så skal man ikke tænke særligt langt, for at drage en
>konklusion..

Nok snarere en 400, som angivet.

(pga. en defekt host-angivelse i HTTP-headeren)

--
- Peter Brodersen

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408886
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste