---

Hej gruppe

Imellem nogle Code-Red entries (default.ida) fandt jeg denne linie i min
log fil:

"OPTIONS * HTTP/1.0" 200 0

Er det bare endnu en IIS orm?

Eller hvad betyder det så?

Jeg har forsøgt at google på det, men uden at finde en forklaring.

mvh
Michael

---

"Michael Foged" <momberg@c.dk> writes:

>"OPTIONS * HTTP/1.0" 200 0

>Er det bare endnu en IIS orm?

>Eller hvad betyder det så?

http://www.w3c.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.2

Mvh.
   Klaus.

---

On Mon, 23 Jun 2003 19:14:24 +0000, Klaus Ellegaard wrote:

> "Michael Foged" <momberg@c.dk> writes:
>
>>"OPTIONS * HTTP/1.0" 200 0
>
>>Er det bare endnu en IIS orm?
>
>>Eller hvad betyder det så?
>
> http://www.w3c.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.2
>
> Mvh.
>    Klaus.

Takker, jeg graver et hul og smider min paranoia deri.

mvh
Michael

---

Michael Foged wrote:

>>>"OPTIONS * HTTP/1.0" 200 0

>> http://www.w3c.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.2

> Takker, jeg graver et hul og smider min paranoia deri.

Næh, det behøver du da ikke. Som der står:

"[..] the "*" request is only useful as a "ping" or "no-op" type of method; it
does nothing beyond allowing the client to test the capabilities of the
server. For example, this can be used to test a proxy for HTTP/1.1
compliance (or lack thereof)."

Så han tester din server for et eller andet, siden kommandoen
tilsyneladende ikke har nogen nyttig virkning.

Men det er da sikkert ikke noget at hidse sig op over.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

"Christian Andersen" <zv856hm02@sneakemail.com> wrote in message
news:bd7ptm$s4e$2@charybdis.vof.dk...
> >>>"OPTIONS * HTTP/1.0" 200 0
>
> Så han tester din server for et eller andet, siden kommandoen
> tilsyneladende ikke har nogen nyttig virkning.
>
> Men det er da sikkert ikke noget at hidse sig op over.
>

Og så den detalje at MSIE(?) tilsyneladende laver dem i visse
opsætninger. Jeg har dem i hvert fald i massevis fra min egen browser
til min webserber (på lokalnettet). Jeg har dem også fra enkelte andre
IP'er, men de er relativt sjældne.
OPTIONS(i bunkevis) og PROPFIND(lidt sjældnere).
Hvis nogen falder over hvordan man får den til at lade være, vil jeg
også gerne høre om det.

/Kasper

---

Kasper Pedersen skrev:

> Og så den detalje at MSIE(?)

Måske har du slået Use HTTP 1.1 til i Internetoptions | Advanced.

---

Peder Vendelbo Mikkelsen wrote:
>
> Måske har du slået Use HTTP 1.1 til i Internetoptions | Advanced.

Selvom metoden er specificeret i HTTP/1.1 standarden er der jo
ikke noget krav om, at klienterne bruger den. Hvorfor gør IE
ikke bare som den plejer?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Måske har du slået Use HTTP 1.1 til i Internetoptions | Advanced.

>Selvom metoden er specificeret i HTTP/1.1 standarden er der jo
>ikke noget krav om, at klienterne bruger den. Hvorfor gør IE
>ikke bare som den plejer?

Sædvanligvis er det tjenesten "Web Client", der snakker OPTIONS
og PROPFIND. Den kan man bare slå ihjel, hvis man ikke bruger den.

Mvh.
   Klaus.

---

Kasper Pedersen wrote in dk.edb.sikkerhed:

[...]

> Og så den detalje at MSIE(?) tilsyneladende laver dem i visse
> opsætninger. Jeg har dem i hvert fald i massevis fra min egen browser
> til min webserber (på lokalnettet). Jeg har dem også fra enkelte andre
> IP'er, men de er relativt sjældne.
> OPTIONS(i bunkevis) og PROPFIND(lidt sjældnere).
> Hvis nogen falder over hvordan man får den til at lade være, vil jeg
> også gerne høre om det.

Jeg mener det er Universal Plug and Play servicen der laver de
forespørgsler. Prøv at slå den service fra i service-manageren og se om
ikke det stopper.

> /Kasper

--
Med Venlig Hilsen: Henrik Bøgh || http://henrik.boegh.net/geek/usenet.html

"This is the strangest life I've ever known"
-- Val Kilmer as Jim Morrison in 'The Doors'

---

On Mon, 23 Jun 2003 23:49:47 +0200, "Kasper Pedersen"
<ngfilter@kasperkp.dk> wrote:

>Og så den detalje at MSIE(?) tilsyneladende laver dem i visse
>opsætninger.

Jeg har oplevet det i Samba-opsætninger, hvor MSIE tilsyneladende
laver OPTIONS/PROPFIND som led i web-tilgængelighed. Jeg kunne
forestille mig, at den var WebDAV-nysgerrig.

Det samme plejer at være tilfældet, hvis IE-brugere med Office
installeret prøver at tilgå Word-dokumenter over HTTP - da vil IE også
høre, om brugeren har mulighed for at gemme evt. rettelser tilbage.

--
- Peter Brodersen

---

On Mon, 23 Jun 2003 21:02:46 +0000, Christian Andersen wrote:


> Så han tester din server for et eller andet, siden kommandoen
> tilsyneladende ikke har nogen nyttig virkning.
>
> Men det er da sikkert ikke noget at hidse sig op over.

Det var nu også derfor jeg ville smide min paranoia ad h. til.

Der var kun denne ene entry fra samme IP, hvorimod min log er ved at blive
fyldt med Code Red entries.

Jeg har læst et råd, om at lave en tom default.ida fil, så serveren har
noget at levere tilbage. Da jeg jo har fri trafik, overvejer jeg istedet
at lave en 10MB fil, med samme navn, som serveren så kan returnere. Kan
det være med til at åbne øjnene for dem der (uvidende) er inficeret?

mvh
Michael

--
The advantage of the lack of backup policy and often system crashes is
that you get your address book and bookmarks updated regularly.
In that respect I often miss Windows.

---

"Michael" == Michael Foged <momberg@c.dk> writes:

> Der var kun denne ene entry fra samme IP, hvorimod min log er ved at blive
> fyldt med Code Red entries.

> Jeg har læst et råd, om at lave en tom default.ida fil, så serveren har
> noget at levere tilbage. Da jeg jo har fri trafik, overvejer jeg istedet
> at lave en 10MB fil, med samme navn, som serveren så kan returnere. Kan
> det være med til at åbne øjnene for dem der (uvidende) er inficeret?

Det bedste er nok at rette henvendelse til den pågældendes
udbyder. Jeg har installeret et script der sender en automatisk mail
til udbyder, hver gang jeg får et hit fra Code Red eller Nimda, og
henover en 3-4 måneders periode ser det ud til at det har hjulpet en
del. Især TDC er forholdsvis hurtige til at rette henvendelse til
deres kunder, og det er nok alt andet lige en bedre øjenåbner end et
10 MB download.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

On Tue, 24 Jun 2003 19:58:24 +0200, Anders Wegge Jakobsen wrote:

> Det bedste er nok at rette henvendelse til den pågældendes
> udbyder.

Det plejer jeg skam også, endda skrevet meget venligt, indeholdende at jeg
er klar over at vedkommende nok ikke selv er klar over det og bla bla bla.
Men jeg har også modtaget indtil flere svar om at ikke var noget
pågældende ISP kunne/ville gøre noget ved. Eller også en total ignorering
af min "klage".

> Jeg har installeret et script der sender en automatisk mail
> til udbyder, hver gang jeg får et hit fra Code Red eller Nimda

Er det et du har et link til? eller et du selv har skrevet, og måske vil
af med en kopi af?. Jeg er ikke nogen ørn til det shell halløjsa.

2 poster på en news:dk.internet.bla.bla.bla gav mig Code Red forespørgsler
fra DK, Frankrig, Spanien og Venezuela inden for 2 timer. Skal jeg så
"råbe" op i nyhedsgruppen (uden IP) eller bare lave de sædvanlige venlige
abuse@ISP?

mvh
Michael

--
The advantage of the lack of backup policy and often system crashes is
that you get your address book and bookmarks updated regularly.
In that respect I often miss Windows.

---

"Michael" == Michael Foged <momberg@c.dk> writes:


>> Jeg har installeret et script der sender en automatisk mail
>> til udbyder, hver gang jeg får et hit fra Code Red eller Nimda

> Er det et du har et link til? eller et du selv har skrevet, og måske vil
> af med en kopi af?. Jeg er ikke nogen ørn til det shell halløjsa.

Jeg bruger EarlyBird
<URL:http://www.treachery.net/~jdyson/earlybird/>, som jeg har rettet
lidt til, så der logges til en SQL-database.

> 2 poster på en news:dk.internet.bla.bla.bla gav mig Code Red forespørgsler
> fra DK, Frankrig, Spanien og Venezuela inden for 2 timer. Skal jeg så
> "råbe" op i nyhedsgruppen (uden IP) eller bare lave de sædvanlige venlige
> abuse@ISP?

Jeg tror ikke du får noget ud af at "råbe op". Det er nok de færreste
abuse afdelinger der har tid til at undersøge diverse nyhedsgrupper,
for det tilfældes skyld at en af deres IP-adresser bliver nævnt.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

On Tue, 24 Jun 2003 21:36:24 +0200, Anders Wegge Jakobsen wrote:
> Jeg bruger EarlyBird
> <URL:http://www.treachery.net/~jdyson/earlybird/>, som jeg har rettet
> lidt til, så der logges til en SQL-database.

Takker, det kigger jeg på.

>> 2 poster på en news:dk.internet.bla.bla.bla gav mig Code Red forespørgsler
>> fra DK, Frankrig, Spanien og Venezuela inden for 2 timer. Skal jeg så
>> "råbe" op i nyhedsgruppen (uden IP) eller bare lave de sædvanlige venlige
>> abuse@ISP?
>
> Jeg tror ikke du får noget ud af at "råbe op". Det er nok de færreste
> abuse afdelinger der har tid til at undersøge diverse nyhedsgrupper,
> for det tilfældes skyld at en af deres IP-adresser bliver nævnt.

Jeg fik nok ikke forklaret mig ordentligt her. Jeg forventer skam ikke af
en ISP at de skal kigge en nyhedsgruppe igennem. Jeg sender dem en kopi af
relevante log-entry med den nævnte forklaring på at jeg ikke tror at det
er bevidst forsøg på noget som helst, men at jeg syntes at de skal gøre
deres kunde opmærksom på problemet.

Hvad jeg mente med at "råbe op", var at skrive noget ala ( i den tråd jeg
nu havde postet i, med et link til min server) at jeg netop har været
udsat for et par Code-red /Nimbda whatever forespørgsler, og der måske var
nogen der trængte til at kigge deres system efter.

mvh
Michael

--
The advantage of the lack of backup policy and often system crashes is
that you get your address book and bookmarks updated regularly.
In that respect I often miss Windows.

---

"Michael" == Michael Foged <momberg@c.dk> writes:

> Hvad jeg mente med at "råbe op", var at skrive noget ala ( i den tråd jeg
> nu havde postet i, med et link til min server) at jeg netop har været
> udsat for et par Code-red /Nimbda whatever forespørgsler, og der måske var
> nogen der trængte til at kigge deres system efter.

Hvis du kan binde IP-adressen angrebet kommer fra op på en bestemt
persons email via X-Trace eller lignende headere, så kan du lige så
godt sende en venlig mail direkte til personen. Det er nok de færreste
der overhovedet er klar over at de har en virusinfektion.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

Anders Wegge Jakobsen wrote:
>
> "Michael" == Michael Foged <momberg@c.dk> writes:
>
> > Hvad jeg mente med at "råbe op", var at skrive noget ala ( i den tråd jeg
> > nu havde postet i, med et link til min server) at jeg netop har været
> > udsat for et par Code-red /Nimbda whatever forespørgsler, og der måske var
> > nogen der trængte til at kigge deres system efter.
>
> Hvis du kan binde IP-adressen angrebet kommer fra op på en bestemt
> persons email via X-Trace eller lignende headere, så kan du lige så
> godt sende en venlig mail direkte til personen. Det er nok de færreste
> der overhovedet er klar over at de har en virusinfektion.

Jeg har til tider prøvet at skrive til personer, som enten har været
inficeret med virus eller har opsat deres system forkert, eller begge
dele. Jeg har aldrig fået svar, og jeg har flere gange konstateret,
at de ikke rettede fejlen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Michael Foged wrote:
>
> On Tue, 24 Jun 2003 19:58:24 +0200, Anders Wegge Jakobsen wrote:
>
> > Jeg har installeret et script der sender en automatisk mail
> > til udbyder, hver gang jeg får et hit fra Code Red eller Nimda
>
> Er det et du har et link til? eller et du selv har skrevet, og måske vil
> af med en kopi af?. Jeg er ikke nogen ørn til det shell halløjsa.

Her er de scripts, jeg personligt bruger. (Husk at rette
brugernavn og email, hvis du vil bruge dem.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Michael Foged wrote:

> Jeg har læst et råd, om at lave en tom default.ida fil, så serveren har
> noget at levere tilbage. Da jeg jo har fri trafik, overvejer jeg istedet
> at lave en 10MB fil, med samme navn, som serveren så kan returnere. Kan
> det være med til at åbne øjnene for dem der (uvidende) er inficeret?

Næh. Allerhøjst besvære dem unødigt og belaste din server.

Den tomme default.ida-fil lyder derimod som en god ide.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

On Tue, 24 Jun 2003 18:09:06 +0000, Christian Andersen wrote:

> Næh. Allerhøjst besvære dem unødigt

Ok, det ville jeg så kunne leve med, da de jo besværer mig unødigt,
fordi de ikke gider at forsøge at sikre deres system.

> og belaste din server.

Hehe, så fik den da endelig lidt "fornuftigt" at lave

Men jeg skal nok styre mine lyster, og nøjes med de sædvanlige nyttesløse
abuse@ISP mails.

mvh
Michael

--
The advantage of the lack of backup policy and often system crashes is
that you get your address book and bookmarks updated regularly.
In that respect I often miss Windows.

---

Michael Foged wrote:
>
> Der var kun denne ene entry fra samme IP, hvorimod min log er ved at blive
> fyldt med Code Red entries.
>
> Jeg har læst et råd, om at lave en tom default.ida fil, så serveren har
> noget at levere tilbage. Da jeg jo har fri trafik, overvejer jeg istedet
> at lave en 10MB fil, med samme navn, som serveren så kan returnere. Kan
> det være med til at åbne øjnene for dem der (uvidende) er inficeret?

Måske den her kan bruges til noget. (OK, den er godt nok rettet mod
personer, der har et helt subnet og ikke bare en enkelt IP, men den
grundlægende idé kan måske bruges alligevel)
http://labrea.sourceforge.net/

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Michael Foged <momberg@c.dk> wrote:
> Der var kun denne ene entry fra samme IP, hvorimod min log er ved at blive
> fyldt med Code Red entries.

Jeg har sat en default virtual host op paa mine webservere som goer at
connections med manglende eller ukorrekt Host: header bliver logget i
een fil. Det betyder at mine brugers logfiler ikke bliver fyldt med
lort da de fleste orme ikke taler korrekt HTTP.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
>
> Jeg har sat en default virtual host op paa mine webservere som goer at
> connections med manglende eller ukorrekt Host: header bliver logget i
> een fil. Det betyder at mine brugers logfiler ikke bliver fyldt med
> lort da de fleste orme ikke taler korrekt HTTP.

Host headeren blev først et krav i HTTP/1.1.
Nimda og CodeRed bruger HTTP/1.0.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Jeg har sat en default virtual host op paa mine webservere som goer at
>> connections med manglende eller ukorrekt Host: header bliver logget i
>> een fil. Det betyder at mine brugers logfiler ikke bliver fyldt med
>> lort da de fleste orme ikke taler korrekt HTTP.

>Host headeren blev først et krav i HTTP/1.1.
>Nimda og CodeRed bruger HTTP/1.0.

Med en HTTP/1.0-browser har man tabt så tilpas meget, at det ikke
gør nogen forskel, om det er en gammeldags browser eller en virus.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >> Jeg har sat en default virtual host op paa mine webservere som goer at
> >> connections med manglende eller ukorrekt Host: header bliver logget i
> >> een fil. Det betyder at mine brugers logfiler ikke bliver fyldt med
> >> lort da de fleste orme ikke taler korrekt HTTP.
>
> >Host headeren blev først et krav i HTTP/1.1.
> >Nimda og CodeRed bruger HTTP/1.0.
>
> Med en HTTP/1.0-browser har man tabt så tilpas meget, at det ikke
> gør nogen forskel, om det er en gammeldags browser eller en virus.

Hvad mener du lige præcis med det? Der er mig bekendt ikke nogen
sikkerhdsproblemer i HTTP/1.0 eller HTTP/0.9 for den sags skyld.
(Der er selvfølgelig stedder, hvor man har brug for kryptering og
signatur, men SSL kan lægges nedenunder, og det har i sig selv ikke
noget med HTTP at gøre.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Med en HTTP/1.0-browser har man tabt så tilpas meget, at det ikke
>> gør nogen forskel, om det er en gammeldags browser eller en virus.

>Hvad mener du lige præcis med det?

At det efterhånden er ret begrænset, hvad man kan få adgang til
af sites, når man kører HTTP/1.0.

Der ligger i titusindvis af domæner på "webhotelservere", som
kun kan ses, hvis man kører 1.1. Så man har tabt, hvis man kun
har en 1.0-browser.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >> Med en HTTP/1.0-browser har man tabt så tilpas meget, at det ikke
> >> gør nogen forskel, om det er en gammeldags browser eller en virus.
>
> >Hvad mener du lige præcis med det?
>
> At det efterhånden er ret begrænset, hvad man kan få adgang til
> af sites, når man kører HTTP/1.0.
>
> Der ligger i titusindvis af domæner på "webhotelservere", som
> kun kan ses, hvis man kører 1.1. Så man har tabt, hvis man kun
> har en 1.0-browser.

Nå, det er det du mener. Jeg kender nu ikke nogen servere, der
ikke vil virke med en HTTP/1.0 klient. Men der findes servere,
der ikke virker uden host header. En HTTP/1.0 klient som sender
en host header vil nok virke fint med mere end 99% af de
eksisterende servere. At mange servere kræver en host header
ændrer ikke på, at den er valgfri i HTTP/1.0 klienter. Og man
kan altså godt sætte et site op, så det virker smertefrit selv
med sådanne klienter. Min primære invending var blot imod
påstanden om, at det ikke var korrekt HTTP.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

On Wed, 25 Jun 2003 09:32:31 +0100, Alex Holst wrote:

> Michael Foged <momberg@c.dk> wrote:
>> Der var kun denne ene entry fra samme IP, hvorimod min log er ved at blive
>> fyldt med Code Red entries.
>
> Jeg har sat en default virtual host op paa mine webservere som goer at
> connections med manglende eller ukorrekt Host: header bliver logget i
> een fil. Det betyder at mine brugers logfiler ikke bliver fyldt med
> lort da de fleste orme ikke taler korrekt HTTP.

Interessant! Det var en måde at få adskilt støj og trafik på, som jeg
ikke havde forestillet mig.

Dette har været en meget interessant tråd for mig, der ikke kender
meget til netværk og sikkerhed.

Tak til alle bidragydere.

mvh
Michael

--
The advantage of the lack of backup policy and often system crashes is
that you get your address book and bookmarks updated regularly.
In that respect I often miss Windows.