---

Hej alle !

Jeg har lige haft besøg på min FTP. Her følger en del af loggen - er der
nogen der kan forklare mig hvad personen prøver på ?

(000006) 12-03-2002 17:51:41 - (not logged in) (62.243.76.138) > USER
anonymous
(000006) 12-03-2002 17:51:41 - (not logged in) (62.243.76.138) > 331
Password required for anonymous.
(000006) 12-03-2002 17:51:41 - (not logged in) (62.243.76.138) > PASS
Ggpuser@home.com
(000006) 12-03-2002 17:51:41 - anonymous (62.243.76.138) > logged in.
(000006) 12-03-2002 17:51:41 - anonymous (62.243.76.138) > 230 User
anonymous logged in.
(000006) 12-03-2002 17:51:42 - anonymous (62.243.76.138) > CWD /pub/
(000006) 12-03-2002 17:51:42 - anonymous (62.243.76.138) > asked to change
directory : 'd:\ftp\anonym\ -> d:\ftp\anonym\pub\' --> Access denied (No
Access Right).
(000006) 12-03-2002 17:51:42 - anonymous (62.243.76.138) > 550 CWD failed.
No permission
(000006) 12-03-2002 17:51:42 - anonymous (62.243.76.138) > CWD /public/
(000006) 12-03-2002 17:51:42 - anonymous (62.243.76.138) > asked to change
directory : 'd:\ftp\anonym\ -> d:\ftp\anonym\public\' --> Access denied (No
Access Right).
(000006) 12-03-2002 17:51:42 - anonymous (62.243.76.138) > 550 CWD failed.
No permission
(000006) 12-03-2002 17:51:43 - anonymous (62.243.76.138) > CWD
/pub/incoming/
(000006) 12-03-2002 17:51:43 - anonymous (62.243.76.138) > asked to change
directory : 'd:\ftp\anonym\ -> d:\ftp\anonym\pub\incoming\' --> Access
denied (No Access Right).
(000006) 12-03-2002 17:51:43 - anonymous (62.243.76.138) > 550 CWD failed.
No permission
(000006) 12-03-2002 17:51:43 - anonymous (62.243.76.138) > CWD /incoming/
(000006) 12-03-2002 17:51:43 - anonymous (62.243.76.138) > asked to change
directory : 'd:\ftp\anonym\ -> d:\ftp\anonym\incoming\' --> Access denied
(No Access Right).
(000006) 12-03-2002 17:51:43 - anonymous (62.243.76.138) > 550 CWD failed.
No permission
(000006) 12-03-2002 17:51:44 - anonymous (62.243.76.138) > CWD /_vti_pvt/
(000006) 12-03-2002 17:51:44 - anonymous (62.243.76.138) > asked to change
directory : 'd:\ftp\anonym\ -> d:\ftp\anonym\_vti_pvt\' --> Access denied
(No Access Right).
(000006) 12-03-2002 17:51:44 - anonymous (62.243.76.138) > 550 CWD failed.
No permission
(000006) 12-03-2002 17:51:44 - anonymous (62.243.76.138) > CWD /
(000006) 12-03-2002 17:51:44 - anonymous (62.243.76.138) > asked to change
directory : 'd:\ftp\anonym\ -> d:\ftp\anonym\' --> Access allowed.
(000006) 12-03-2002 17:51:44 - anonymous (62.243.76.138) > 250 CWD command
successful. "/" is current directory.
(000006) 12-03-2002 17:51:45 - anonymous (62.243.76.138) > MKD 020312175023p
(000006) 12-03-2002 17:51:45 - anonymous (62.243.76.138) > asked to create
dir 'd:\ftp\anonym\020312175023p' --> Access denied.
(000006) 12-03-2002 17:51:45 - anonymous (62.243.76.138) > 550
'/020312175023p': can't create directory. No permission.
(000006) 12-03-2002 17:51:45 - anonymous (62.243.76.138) > CWD /upload/
(000006) 12-03-2002 17:51:45 - anonymous (62.243.76.138) > asked to change
directory : 'd:\ftp\anonym\ -> d:\ftp\anonym\upload\' --> Access denied (No
Access Right).
(000006) 12-03-2002 17:51:45 - anonymous (62.243.76.138) > 550 CWD failed.
No permission
(000006) 12-03-2002 17:51:46 - anonymous (62.243.76.138) > disconnected.
(00:00:05)

Mvh Neo.dk

---

"Neo.dk" <neo___dk@hotmail.com> wrote in message
news:3c8e4395$0$37653$edfadb0f@dspool01.news.tele.dk...
> Hej alle !
>
> Jeg har lige haft besøg på min FTP. Her følger en del af loggen - er der
> nogen der kan forklare mig hvad personen prøver på ?

Ja:
Brugernavn: anonymous
Password / E-mail: Gbpuser@home.com
Nu prøver han/hun så at skifte til diverse mapper, men det lykkes ikke.
Han prøver nu at lave en mappe, det lykkes heller ikke.
Han logger af.

Her er ikke begået noget ulovligt, da du selv har tilladt anonym adgang til
din FTP-server.

mvh
db

---

Daniel Blankensteiner wrote:

>> Jeg har lige haft besøg på min FTP. Her følger en del af loggen - er der
>> nogen der kan forklare mig hvad personen prøver på ?

> Ja:
> Brugernavn: anonymous
> Password / E-mail: Gbpuser@home.com
> Nu prøver han/hun så at skifte til diverse mapper, men det lykkes ikke.
> Han prøver nu at lave en mappe, det lykkes heller ikke.
> Han logger af.
>
> Her er ikke begået noget ulovligt, da du selv har tilladt anonym adgang til
> din FTP-server.

Nej, han har ikke begået noget ulovligt, men han ville helt sikkert have
foretaget sig noget ulovligt hvis ikke Neos FTP-server var fornuftigt
sat op.

En fornuftig (læs: velformuleret og afbalanceret) henvendelse til ISPen
med relevante logfiler vil være passende.

--
"...in Spain!"

---

"Christian Andersen" <7kf2z58ugb001@sneakemail.com> wrote in message news:a6lie8$ei8$2@sunsite.dk...
>
> Nej, han har ikke begået noget ulovligt, men han ville helt sikkert have
> foretaget sig noget ulovligt hvis ikke Neos FTP-server var fornuftigt
> sat op.
>

Jeg har også fået et par af dem, bl.a. fra en server i frankrig. Før man
hidser sig alt for meget op, så kunne det godt se ud om om nogen
har forfattet en ny orm over det sidste nye ms-hit på bugtraq plus
en gammel bommert.

Den forsøger tilsyneladende at udnytte en konfigureringsbug der
engang ramte www.apache.org, nemlig overlappende FTP og
HTTP directories, hvorved man kan uploade og eksekvere kode?

/Kasper

---

Kasper Pedersen wrote:
>
> Jeg har også fået et par af dem, bl.a. fra en server i frankrig. Før man
> hidser sig alt for meget op, så kunne det godt se ud om om nogen
> har forfattet en ny orm over det sidste nye ms-hit på bugtraq plus
> en gammel bommert.

Ny orm lyder sandsynlig. Især i betragtning af at hele sessionen tager
ca 5 sekunder jf den postede logfil. Ellers er det i hvert fald een, der
er hurtig på tasterne...

--
power-lusers (read: running latest and greatest from Freshmeat,
insecure at extreme, owner does everything logged in as root cause
he finally got root on a Unix box and that makes his dick way longer).
-- Alexander Viro on comp.security.unix

---

Ole Michaelsen <omic+usenet3@fys.ku.dk> skrev....

> Ny orm lyder sandsynlig. Især i betragtning af at hele sessionen
> tager ca 5 sekunder jf den postede logfil. Ellers er det i hvert
> fald een, der er hurtig på tasterne...

Det er da 'bare' en Bot der søger efter nye ftp hosts til sin ejers
filer. Dem har jeg masser af når jeg har en ftp server kørende.

--
Kent Oldhøj - Dansk Overclocking FAQ:
http://oldhoj.dk/overclockingfaq.htm

---

"Christian Andersen" <7kf2z58ugb001@sneakemail.com> wrote in message
news:a6lie8$ei8$2@sunsite.dk...
> Nej, han har ikke begået noget ulovligt, men han ville helt sikkert have
> foretaget sig noget ulovligt hvis ikke Neos FTP-server var fornuftigt
> sat op.
>
> En fornuftig (læs: velformuleret og afbalanceret) henvendelse til ISPen
> med relevante logfiler vil være passende.

Uenig. Han har intet ulovligt gjort, Neo (dig fra matrix? har selv givet
ham adgang. Jeg kunne også finde på at gøre som personen (prøve at skifte
mappe, samt at oprette mapper), uden at jeg havde noget kriminelt i
tankerne.

mvh
db

---

> Uenig. Han har intet ulovligt gjort, Neo (dig fra matrix? har selv
givet
> ham adgang. Jeg kunne også finde på at gøre som personen (prøve at skifte
> mappe, samt at oprette mapper), uden at jeg havde noget kriminelt i
> tankerne.

Hehe .. nææ ikke Neo fra matrix

Hmm .. jeg hælder nu nok lidt til Kaspers teori, jeg er nemlig kommet i
tanke om at jeg har oplevet det samme før, jeg kan *genkende* det underlige
bibliotek som *en eller anden* prøver at oprette (020312175023p) ... så for
mig virker det lidt som en orm.
også lidt fordi at jeg har en besked liggende i en tekst fil til anonyme
gæster ... den var *vedkommende* ligeglad med !

men hvad hvis det er en orm ? ... har personen med ip'en ikke en
sikkerhedsbrist i sit system og bør *kontaktes*

og så til dig Daniel ...

For at drage en parallel til det virkelige liv -

Hvis du nu går ned af gaden i din hjemby, f.eks en søndag eftermiddag ,
åbner du så også en masse husdøre, går ind i husene og benytter toilettet
eller snupper en bajer fra køleskabet ? (uden at du havde noget kriminelt i
tankerne)

Man kan måske ikke drage sådan en parallel - eller hvad ???

Det er muligt at jeg har en FTP, men jeg bruger den kun for at jeg fra
arbejdet af kan connecte til min PC, jeg har ikke inviteret vedkommende,
eller nogen andre end mig selv for den sags skyld !

Men det at have en FTP skal måske betragtes som en åben invitation for alle
og enhver som synes at det kunne være sjovt at se om *man kan nå ind til
køleskabet* ???

Mvh Neo.dk

---

"Neo.dk" <neo___dk@hotmail.com> wrote in message
news:3c8e60af$0$97366$edfadb0f@dspool01.news.tele.dk...
> > Uenig. Han har intet ulovligt gjort, Neo (dig fra matrix? har selv
> givet
> > ham adgang. Jeg kunne også finde på at gøre som personen (prøve at
skifte
> > mappe, samt at oprette mapper), uden at jeg havde noget kriminelt i
> > tankerne.
>
> Hehe .. nææ ikke Neo fra matrix
>
> Hmm .. jeg hælder nu nok lidt til Kaspers teori, jeg er nemlig kommet i
> tanke om at jeg har oplevet det samme før, jeg kan *genkende* det
underlige
> bibliotek som *en eller anden* prøver at oprette (020312175023p) ... så
for
> mig virker det lidt som en orm.
> også lidt fordi at jeg har en besked liggende i en tekst fil til anonyme
> gæster ... den var *vedkommende* ligeglad med !
>
> men hvad hvis det er en orm ? ... har personen med ip'en ikke en
> sikkerhedsbrist i sit system og bør *kontaktes*

Rigtig nok.

> og så til dig Daniel ...
>
> For at drage en parallel til det virkelige liv -
>
> Hvis du nu går ned af gaden i din hjemby, f.eks en søndag eftermiddag ,
> åbner du så også en masse husdøre, går ind i husene og benytter toilettet
> eller snupper en bajer fra køleskabet ? (uden at du havde noget kriminelt
i
> tankerne)
>
> Man kan måske ikke drage sådan en parallel - eller hvad ???

Nej, det kan man ikke.

> Det er muligt at jeg har en FTP, men jeg bruger den kun for at jeg fra
> arbejdet af kan connecte til min PC, jeg har ikke inviteret vedkommende,
> eller nogen andre end mig selv for den sags skyld !
>
> Men det at have en FTP skal måske betragtes som en åben invitation for
alle
> og enhver som synes at det kunne være sjovt at se om *man kan nå ind til
> køleskabet* ???

Du har tilladt anonym adgang, altså har du inviteret ALLE personer med en
internet forbindelse.
Ønsker du ikke at gøre dette, så slå det fra, så kun du og dine brugere har
adgang til FTP-serveren.

mvh
db

---

db skrev:

> Uenig. Han har intet ulovligt gjort, Neo (dig fra matrix? har selv
givet
> ham adgang. Jeg kunne også finde på at gøre som personen (prøve at skifte
> mappe, samt at oprette mapper), uden at jeg havde noget kriminelt i
> tankerne.

Hehe .. nææ ikke Neo fra matrix

Hmm .. jeg hælder nu nok lidt til Kaspers teori, jeg er nemlig kommet i
tanke om at jeg har oplevet det samme før, jeg kan *genkende* det underlige
bibliotek som *en eller anden* prøver at oprette (020312175023p) ... så for
mig virker det lidt som en orm.
også lidt fordi at jeg har en besked liggende i en tekst fil til anonyme
gæster ... den var *vedkommende* ligeglad med !

men hvad hvis det er en orm ? ... har personen med ip'en ikke en
sikkerhedsbrist i sit system og bør *kontaktes*

og så til dig Daniel ...

For at drage en parallel til det virkelige liv -

Hvis du nu går ned af gaden i din hjemby, f.eks en søndag eftermiddag ,
åbner du så også en masse husdøre, går ind i husene og benytter toilettet
eller snupper en bajer fra køleskabet ? (uden at du havde noget kriminelt i
tankerne)

Man kan måske ikke drage sådan en parallel - eller hvad ???

Det er muligt at jeg har en FTP, men jeg bruger den kun for at jeg fra
arbejdet af kan connecte til min PC, jeg har ikke inviteret vedkommende,
eller nogen andre end mig selv for den sags skyld !

Men det at have en FTP skal måske betragtes som en åben invitation for alle
og enhver som synes at det kunne være sjovt at se om *man kan nå ind til
køleskabet* ???

Mvh Neo.dk

---

Hej Neo

> Hvis du nu går ned af gaden i din hjemby, f.eks en søndag eftermiddag ,
> åbner du så også en masse husdøre, går ind i husene og benytter toilettet
> eller snupper en bajer fra køleskabet ? (uden at du havde noget kriminelt
i
> tankerne)
>
> Man kan måske ikke drage sådan en parallel - eller hvad ???

Nej, at lave en FTP server svare til at du har sat dit køleskab ud på gaden,
så kan du vel ikke fortænke nogen i at de lige åbner døren og kikker.

Mvh Max

---

Max <Max_Jens@post9.tele.dk> wrote:
>> Man kan måske ikke drage sådan en parallel - eller hvad ???
>
> Nej, at lave en FTP server svare til at du har sat dit køleskab ud på gaden,
> så kan du vel ikke fortænke nogen i at de lige åbner døren og kikker.

Vil I _ikke nok_ holde op med at drage paraller mellem Internettet og
biler/gader/whatever? Det gaelder Jer allesammen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Vil I _ikke nok_ holde op med at drage paraller mellem Internettet og
> biler/gader/whatever? Det gaelder Jer allesammen.

AOL!!!11

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

Alex Holst <a@area51.dk> skrev....

> Vil I _ikke nok_ holde op med at drage paraller mellem
> Internettet og biler/gader/whatever? Det gaelder Jer allesammen.

Gerne, hvis du lover ikke at læse dem hvis det alligevel smutter for
nogen. Lidt i stil med at billisterne lovede at overholde
fartgrænserne, hvis politiet lod være med at lave fotofælder.

--
Kent Oldhøj - Dansk Overclocking FAQ:
http://oldhoj.dk/overclockingfaq.htm

---

Alex Holst wrote:

>> Nej, at lave en FTP server svare til at du har sat dit køleskab ud på gaden,
>> så kan du vel ikke fortænke nogen i at de lige åbner døren og kikker.

> Vil I _ikke nok_ holde op med at drage paraller mellem Internettet og
> biler/gader/whatever? Det gaelder Jer allesammen.

Det skal du da i hvert fald ikke bestemme. Hvis en god analogi kan
hjælpe en newbie med at forståe et koncept, vil jeg bruge en analogi.

Bemærk at jeg skrev *GOD* analogi uden dermed at tage stilling til nogen
af de analogier der er fremkommet i trådens forløb. Inklusive min egen.

--
"...in Spain!"

---

On Wed, 13 Mar 2002 13:51:46 +0100, Alex Holst <a@area51.dk> wrote:

>Vil I _ikke nok_ holde op med at drage paraller mellem Internettet og
>biler/gader/whatever? Det gaelder Jer allesammen.

Betragt det som en Godwin-variant indenfor IT-debatter.

--
- Peter Brodersen

---

Daniel Blankensteiner wrote:

>> En fornuftig (læs: velformuleret og afbalanceret) henvendelse til ISPen
>> med relevante logfiler vil være passende.

> Uenig. Han har intet ulovligt gjort, Neo (dig fra matrix? har selv givet
> ham adgang. Jeg kunne også finde på at gøre som personen (prøve at skifte
> mappe, samt at oprette mapper), uden at jeg havde noget kriminelt i
> tankerne.

De mapper han prøver at oprette og skifte til virker ikke "normale."

For at komme væk fra dør-åbnings-analogien:

Hvis du har inviteret en person på besøg i dit hjem og han straks render
ind i soveværelset og begynder at rode i skuffer, tænker du så: "Nå, det
er jo min egen skyld. Jeg har selv inviteret ham indenfor" eller smider
du ham ud med fynd og klem?

Og uanset om du kan lide analogier eller ej, må du da medgive mig at det
ikke er "normale" mapper der forsøges oprettet/skiftet til?

--
"...in Spain!"

---

"Christian Andersen" <7kf2z58ugb001@sneakemail.com> wrote in message
news:a6m0u5$9hc$2@sunsite.dk...
> Daniel Blankensteiner wrote:
>
> >> En fornuftig (læs: velformuleret og afbalanceret) henvendelse til ISPen
> >> med relevante logfiler vil være passende.
>
> > Uenig. Han har intet ulovligt gjort, Neo (dig fra matrix? har selv
givet
> > ham adgang. Jeg kunne også finde på at gøre som personen (prøve at
skifte
> > mappe, samt at oprette mapper), uden at jeg havde noget kriminelt i
> > tankerne.
>
> De mapper han prøver at oprette og skifte til virker ikke "normale."
>
> For at komme væk fra dør-åbnings-analogien:
>
> Hvis du har inviteret en person på besøg i dit hjem og han straks render
> ind i soveværelset og begynder at rode i skuffer, tænker du så: "Nå, det
> er jo min egen skyld. Jeg har selv inviteret ham indenfor" eller smider
> du ham ud med fynd og klem?

Han bliver smidt ud, men jeg ringer ikke til politiet. Nu var det jo heller
ikke en person eller exploit, men en orm eller hvad vi nu blev enige om,
så jeg vil ikke sende en mail til personens ISP.

> Og uanset om du kan lide analogier eller ej, må du da medgive mig at det
> ikke er "normale" mapper der forsøges oprettet/skiftet til?

Helt rigtigt.

mvh
db

---

Daniel Blankensteiner wrote:

>> Hvis du har inviteret en person på besøg i dit hjem og han straks render
>> ind i soveværelset og begynder at rode i skuffer, tænker du så: "Nå, det
>> er jo min egen skyld. Jeg har selv inviteret ham indenfor" eller smider
>> du ham ud med fynd og klem?

> Han bliver smidt ud, men jeg ringer ikke til politiet. Nu var det jo heller
> ikke en person eller exploit, men en orm eller hvad vi nu blev enige om,
> så jeg vil ikke sende en mail til personens ISP.

Ok, der er vi så uenige. Personen kan da så i det mindste blive gjort
opmærksom på at han er inficeret med en orm.

--
"...in Spain!"

---

"Christian Andersen" <7kf2z58ugb001@sneakemail.com> wrote in message
news:a6n3j7$87c$1@sunsite.dk...
> Ok, der er vi så uenige. Personen kan da så i det mindste blive gjort
> opmærksom på at han er inficeret med en orm.

Jep, men hvis det nu var noget der var gjort manuelt, vil jeg ikke skrive en
mail til personens ISP.

mvh
db