/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Forsøg på hack eller hvad
Fra : Anders


Dato : 12-07-03 08:14

Hej
Jeg har en FTP server kørende, og nu ser jeg mærkelige ting i loggen, ert
det et forsøg på hacking eller hvad ?
Her er lidt log info. Hvad betyder det ?
mvh.
Anders

13:07:39 81.77.240.9x [27]USER anonymous 331 0
13:07:39 81.77.240.9x [27]PASS anonymous@on.the.net 230 0
13:07:53 81.77.240.9x [27]MKD ./++/+/ 550 183
13:07:53 81.77.240.9x [27]CWD ./++/+/ 550 2
13:07:56 81.77.240.9x [27]CWD mm 250 0
13:08:07 81.77.240.9x [27]MKD ./com1+/+/ 550 267
13:08:07 81.77.240.9x [27]CWD ./com1+/+/ 550 2
13:08:14 81.77.240.9x [27]MKD ./+com1/ 257 0
13:08:14 81.77.240.9x [27]CWD ./+com1 250 0
13:08:16 81.77.240.9x [27]CWD /mm 250 0
13:08:20 81.77.240.9x [27]CWD com1 550 2
13:08:37 81.77.240.9x [27]CWD /mm/+com1 250 0
13:09:07 81.77.240.9x [27]MKD ÿ+tag+ÿ 257 0
13:09:07 81.77.240.9x [27]CWD ÿ+tag+ÿ 250 0
13:09:11 81.77.240.9x [27]CWD /mm/+com1 250 0
13:09:14 81.77.240.9x [27]CWD +tag+ 550 2
13:09:18 81.77.240.9x [27]CWD /mm/+com1/ÿ+tag+ÿ 250 0
13:09:27 81.77.240.9x [27]MKD ./+com1/+/ 257 0
13:09:27 81.77.240.9x [27]MKD ./+com2/+/ 257 0
13:09:27 81.77.240.9x [27]MKD ./+com3/+/ 257 0
13:09:27 81.77.240.9x [27]MKD ./+com4/+/ 257 0
13:09:28 81.77.240.9x [27]MKD ./+com5/+/ 257 0
13:09:28 81.77.240.9x [27]MKD ./+com6/+/ 257 0
13:09:28 81.77.240.9x [27]MKD ./+com7/+/ 257 0
13:09:28 81.77.240.9x [27]MKD ./+com8/+/ 257 0
13:09:30 81.77.240.9x [27]MKD ./+com9/+/ 257 0
13:09:30 81.77.240.9x [27]MKD ./+com10/+/ 257 0
13:10:07 81.77.240.9x [27]MKD ./+com4/££++++charon+scan+++££/ 257 0
13:10:07 81.77.240.9x [27]CWD ./+com4/££++++charon+scan+++££ 250 0
13:11:52 81.77.240.9x [27]created
/mm/+com1/ÿ+tag+ÿ/+com4/££++++charon+scan+++££/-+1+000+000+OcTeT 226 0
13:13:39 81.77.240.9x [27]sent
/mm/+com1/ÿ+tag+ÿ/+com4/££++++charon+scan+++££/-+1+000+000+OcTeT 226 0



 
 
Thomas Nielsen (12-07-2003)
Kommentar
Fra : Thomas Nielsen


Dato : 12-07-03 09:06


"Anders" <on@the.net> skrev i en meddelelse
news:ByOPa.13$5Y.2@news.get2net.dk...
> Hej
> Jeg har en FTP server kørende, og nu ser jeg mærkelige ting i loggen, ert
> det et forsøg på hacking eller hvad ?
> Her er lidt log info. Hvad betyder det ?
> mvh.
> Anders

Hej Anders..
Ja forsøg kan man godt kalde det eller retter du er blevet "hacket"
fordi at du har tilladt annonym adgang til din FTP server.
Og det som "hackeren" har gjort er at oprettte
mapper som herefter kan fyldes med pirat software/ film / musik osv.
Så det bedste du kan gøre at lukke for annonym adgang.
Samt slette de mapper som "hackeren" har oprettede.

/Thomas Nielsen



>
> 13:07:39 81.77.240.9x [27]USER anonymous 331 0
> 13:07:39 81.77.240.9x [27]PASS anonymous@on.the.net 230 0
> 13:07:53 81.77.240.9x [27]MKD ./++/+/ 550 183
> 13:07:53 81.77.240.9x [27]CWD ./++/+/ 550 2
> 13:07:56 81.77.240.9x [27]CWD mm 250 0
> 13:08:07 81.77.240.9x [27]MKD ./com1+/+/ 550 267
> 13:08:07 81.77.240.9x [27]CWD ./com1+/+/ 550 2
> 13:08:14 81.77.240.9x [27]MKD ./+com1/ 257 0
> 13:08:14 81.77.240.9x [27]CWD ./+com1 250 0
> 13:08:16 81.77.240.9x [27]CWD /mm 250 0
> 13:08:20 81.77.240.9x [27]CWD com1 550 2
> 13:08:37 81.77.240.9x [27]CWD /mm/+com1 250 0
> 13:09:07 81.77.240.9x [27]MKD ÿ+tag+ÿ 257 0
> 13:09:07 81.77.240.9x [27]CWD ÿ+tag+ÿ 250 0
> 13:09:11 81.77.240.9x [27]CWD /mm/+com1 250 0
> 13:09:14 81.77.240.9x [27]CWD +tag+ 550 2
> 13:09:18 81.77.240.9x [27]CWD /mm/+com1/ÿ+tag+ÿ 250 0
> 13:09:27 81.77.240.9x [27]MKD ./+com1/+/ 257 0
> 13:09:27 81.77.240.9x [27]MKD ./+com2/+/ 257 0
> 13:09:27 81.77.240.9x [27]MKD ./+com3/+/ 257 0
> 13:09:27 81.77.240.9x [27]MKD ./+com4/+/ 257 0
> 13:09:28 81.77.240.9x [27]MKD ./+com5/+/ 257 0
> 13:09:28 81.77.240.9x [27]MKD ./+com6/+/ 257 0
> 13:09:28 81.77.240.9x [27]MKD ./+com7/+/ 257 0
> 13:09:28 81.77.240.9x [27]MKD ./+com8/+/ 257 0
> 13:09:30 81.77.240.9x [27]MKD ./+com9/+/ 257 0
> 13:09:30 81.77.240.9x [27]MKD ./+com10/+/ 257 0
> 13:10:07 81.77.240.9x [27]MKD ./+com4/££++++charon+scan+++££/ 257 0
> 13:10:07 81.77.240.9x [27]CWD ./+com4/££++++charon+scan+++££ 250 0
> 13:11:52 81.77.240.9x [27]created
> /mm/+com1/ÿ+tag+ÿ/+com4/££++++charon+scan+++££/-+1+000+000+OcTeT 226 0
> 13:13:39 81.77.240.9x [27]sent
> /mm/+com1/ÿ+tag+ÿ/+com4/££++++charon+scan+++££/-+1+000+000+OcTeT 226 0
>
>



Christian Lyng (12-07-2003)
Kommentar
Fra : Christian Lyng


Dato : 12-07-03 09:12


"Anders" <on@the.net> wrote in message news:ByOPa.13$5Y.2@news.get2net.dk...
> Hej
> Jeg har en FTP server kørende, og nu ser jeg mærkelige ting i loggen, ert
> det et forsøg på hacking eller hvad ?
> Her er lidt log info. Hvad betyder det ?
> mvh.
> Anders
>
> 13:07:39 81.77.240.9x [27]USER anonymous 331 0
> 13:07:39 81.77.240.9x [27]PASS anonymous@on.the.net 230 0
> 13:07:53 81.77.240.9x [27]MKD ./++/+/ 550 183
> 13:07:53 81.77.240.9x [27]CWD ./++/+/ 550 2
> 13:07:56 81.77.240.9x [27]CWD mm 250 0
> 13:08:07 81.77.240.9x [27]MKD ./com1+/+/ 550 267
> 13:08:07 81.77.240.9x [27]CWD ./com1+/+/ 550 2
> 13:08:14 81.77.240.9x [27]MKD ./+com1/ 257 0
> 13:08:14 81.77.240.9x [27]CWD ./+com1 250 0
> 13:08:16 81.77.240.9x [27]CWD /mm 250 0
> 13:08:20 81.77.240.9x [27]CWD com1 550 2
> 13:08:37 81.77.240.9x [27]CWD /mm/+com1 250 0
> 13:09:07 81.77.240.9x [27]MKD ÿ+tag+ÿ 257 0
> 13:09:07 81.77.240.9x [27]CWD ÿ+tag+ÿ 250 0
> 13:09:11 81.77.240.9x [27]CWD /mm/+com1 250 0
> 13:09:14 81.77.240.9x [27]CWD +tag+ 550 2
> 13:09:18 81.77.240.9x [27]CWD /mm/+com1/ÿ+tag+ÿ 250 0
> 13:09:27 81.77.240.9x [27]MKD ./+com1/+/ 257 0
> 13:09:27 81.77.240.9x [27]MKD ./+com2/+/ 257 0
> 13:09:27 81.77.240.9x [27]MKD ./+com3/+/ 257 0
> 13:09:27 81.77.240.9x [27]MKD ./+com4/+/ 257 0
> 13:09:28 81.77.240.9x [27]MKD ./+com5/+/ 257 0
> 13:09:28 81.77.240.9x [27]MKD ./+com6/+/ 257 0
> 13:09:28 81.77.240.9x [27]MKD ./+com7/+/ 257 0
> 13:09:28 81.77.240.9x [27]MKD ./+com8/+/ 257 0
> 13:09:30 81.77.240.9x [27]MKD ./+com9/+/ 257 0
> 13:09:30 81.77.240.9x [27]MKD ./+com10/+/ 257 0
> 13:10:07 81.77.240.9x [27]MKD ./+com4/££++++charon+scan+++££/ 257 0
> 13:10:07 81.77.240.9x [27]CWD ./+com4/££++++charon+scan+++££ 250 0
> 13:11:52 81.77.240.9x [27]created
> /mm/+com1/ÿ+tag+ÿ/+com4/££++++charon+scan+++££/-+1+000+000+OcTeT 226 0
> 13:13:39 81.77.240.9x [27]sent
> /mm/+com1/ÿ+tag+ÿ/+com4/££++++charon+scan+++££/-+1+000+000+OcTeT 226 0
>
>

måske noget med det her:

http://www.futurelink.net/secureit.asp

de har noget der hedder 'Charon Perimeter Security Scan (CPSS)'

hvis du har en FTP server kørende med anonymt login,-så er det vel lidt
svært at sige at man er blevet hacket, da du selv har valgt at den skal være
åben.

Chr.




Kasper Dupont (14-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 14-07-03 19:35

Anders wrote:
>
> Hej
> Jeg har en FTP server kørende, og nu ser jeg mærkelige ting i loggen, ert
> det et forsøg på hacking eller hvad ?
> Her er lidt log info. Hvad betyder det ?
> mvh.
> Anders
>
> 13:07:39 81.77.240.9x [27]USER anonymous 331 0
> 13:07:39 81.77.240.9x [27]PASS anonymous@on.the.net 230 0
> 13:07:53 81.77.240.9x [27]MKD ./++/+/ 550 183
> 13:07:53 81.77.240.9x [27]CWD ./++/+/ 550 2

Der er fejl i COMMAND.COM med håndtering af "+". Den pågældende
fejl kan næppe udnyttes over ftp, men der kan måske findes
lignende fejl i anden software som kan udnyttes.

> 13:07:56 81.77.240.9x [27]CWD mm 250 0
> 13:08:07 81.77.240.9x [27]MKD ./com1+/+/ 550 267
> 13:08:07 81.77.240.9x [27]CWD ./com1+/+/ 550 2

Under DOS er COM1 jo navnet på den første seriel port, så det
ville da være meget underligt at oprette et directory med det
navn.

> 13:08:14 81.77.240.9x [27]MKD ./+com1/ 257 0
> 13:08:14 81.77.240.9x [27]CWD ./+com1 250 0
> 13:08:16 81.77.240.9x [27]CWD /mm 250 0
> 13:08:20 81.77.240.9x [27]CWD com1 550 2
> 13:08:37 81.77.240.9x [27]CWD /mm/+com1 250 0
> 13:09:07 81.77.240.9x [27]MKD ÿ+tag+ÿ 257 0
> 13:09:07 81.77.240.9x [27]CWD ÿ+tag+ÿ 250 0

ÿ er det sidste tegn, der kan repræsenteres med 8 bits. Kan der
være tale om et forsøg på at misbruge en off-by-one fejl?

Der kan vist ikke være nogen tvivl om, at den liste af
kommandoer er et forsøg på at udnytte et eller andet
sikkerhedshul i et DOS basseret eller lignende system. Om det
lykkedes kan jeg ikke afgøre.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Peter Brodersen (14-07-2003)
Kommentar
Fra : Peter Brodersen


Dato : 14-07-03 19:42

On Mon, 14 Jul 2003 20:35:02 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>Under DOS er COM1 jo navnet på den første seriel port, så det
>ville da være meget underligt at oprette et directory med det
>navn.

Nej, det giver god mening (fra den indtrængendes synspunkt). Filer ved
navn "COM1" og lignende er ikke lige til at slette med normale metoder
(gui eller rmdir) under Windows, fordi Windows vil tro, at man ønsker
at tilgå device't med det navn. Man kan dog lave tricks, som fx at
prøve at slette via UNC-navnet, fx \\maskine\c\COM1 i stedet for. Af
samme grund kan man ikke uden videre i Windows oprette en fil fx ved
navn con.txt, lpt1.html eller lignende. Det er selvfølgelig teknisk
set muligt, men gennem de almindelige metoder (som fx at omdøbe en fil
i gui'en) vil man blive forhindret i det.

Som en sidenote, så kunne man med en mysql-adgang få gamle
mysql-servere (<4.0) til at hænge under Windows, ved fx at lave:
SELECT * FROM con;
Tabellen behøvedes ikke at findes i forvejen, men mysqld prøvede at
åbne CON(.MYI) - og så hang den.

--
- Peter Brodersen

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409070
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste