|
| Port 135,139,445,1433,5000 samt IIS. Fra : Stig Johansen |
Dato : 19-07-05 22:50 |
|
Hej Alle.
Jeg er i gang med at kortlægge angrebsforsøg på min forbindelse.
Ad port 445:
I den forbindelse er det lykkedes mig, at finde en tilstrækkelig
dokumentation på CIFS, der gør, at jeg kan skelne mellem lovlige SMB
blokke, og dem med overflow i.
Spørgsmålet går her på, om der findes en site med oplysninger, så man kan
fingerprinte malwaren.
Lige nu ruller resultaterne bare over konsollen, men jeg observerer mindst 3
varianter.
Ad Port 135,139,1433:
Jeg synes, jeg har googlet rundt mht. cifs, og er lidt træt (det flyder ikke
ligefrem med docs fra M$).
Hvis der er nogen, der har et link til noget dokumentation vil jeg blive
glad.
Ad Port 5000 samt IIS.
Jeg har også bemærket en adfærd, hvor man prober port 139,445 samt 5000,
umiddelbart efterfulgt[1] af en OPTIONS request til min server.
Der er noget der tyder på, at man benytter port 5000 til at identificere
target til XP.
I den forbindelse kunne jeg godt tænke mig, at fake en IIS/XP.
Desværre råder jeg ikke over XP, så hvis der er nogen med en XP/IIS , der
gider at telnette op mod den og lave en OPTIONS på den, og poste headerne,
så vil jeg også blive glad.
På forhånd tak.
[1] Jeg har ikke millisekunder på p.t., så rækkefølgen kan være omvendt.
--
Med venlig hilsen
Stig Johansen
| |
Alex Holst (19-07-2005)
| Kommentar Fra : Alex Holst |
Dato : 19-07-05 23:41 |
|
Stig Johansen wrote:
> Jeg er i gang med at kortlægge angrebsforsøg på min forbindelse.
At du gider!
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Stig Johansen (20-07-2005)
| Kommentar Fra : Stig Johansen |
Dato : 20-07-05 04:59 |
|
Alex Holst wrote:
> Stig Johansen wrote:
>> Jeg er i gang med at kortlægge angrebsforsøg på min forbindelse.
>
> At du gider!
Det er ikke helt så besværligt som det lyder.
Jeg er i forvejen ved at kvalitetssikre en del kodestumper, og der er jo
ikke den voldsomme forskel på et SMB_COM_NEGOTIATE request.
Det kombineret med, at konen p.t. arbejder mens jeg har fri gør at jeg nok
vil kalde det tidsfordriv, kombineret med nysgerrighed over hvad
der /egentlig/ ligger bag alle disse requests (= faktuelt indhold).
--
Med venlig hilsen
Stig Johansen
| |
Christian E. Lysel (20-07-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 20-07-05 12:52 |
|
Stig Johansen wrote:
> Hvis der er nogen, der har et link til noget dokumentation vil jeg blive
> glad.
Har du prøvet at søge på google? (husk at inkl.
site:support.microsoft.com i din søgning)
| |
Stig Johansen (21-07-2005)
| Kommentar Fra : Stig Johansen |
Dato : 21-07-05 07:51 |
|
Christian E. Lysel wrote:
> Stig Johansen wrote:
>> Hvis der er nogen, der har et link til noget dokumentation vil jeg blive
>> glad.
>
> Har du prøvet at søge på google? (husk at inkl.
> site:support.microsoft.com i din søgning)
Ja, jeg føler, jeg googlede mig selv ihjel.
Det eneste jeg fandt var noget om, hvordan man opnår licens til SMB.
Andre steder ser det ud som om, protokollen er helt i M$'s hænder.
Det her projekt er egentlig startet af min egen nysgerrighed, og indtil
videre er jeg godt i gang med at få tilfredsstillet denne, så lige nu gider
jeg ikke rigtig dykke længere ned i materien.
..... futter lige over på windåsen ....
nå, tilbage igen, gud hvor ville det være rart med xplatform copy&paste ...
Fra min MS SQL Server:
<sql>
SELECT MIN(StartTime) Fra,MAX(StartTime) Til
FROM AttackLog
WHERE RemoteHost LIKE '%.dk'
SELECT Port,Count(*) Incidents
FROM AttackLog
WHERE RemoteHost LIKE '%.dk'
GROUP BY Port
ORDER BY Port
</sql>
<result>
Fra Til
--------------------------------------------------
--------------------------------------------------
2005/07/20 08:47:35 2005/07/21 06:29:27
(1 row(s) affected)
Port Incidents
----- -----------
30135 188
30139 182
30445 1427
31433 1418
35000 331
(5 row(s) affected)
</result>
Som jeg nævnte over for Alex, så drejer det sig ligesåmeget om at
kvalitetssikre noget 24/7 linux daemon-kode, så i virkeligheden er disse
virusser[1]/trojaner mv. mine gratis testbrugere, der sørger for aktivitet
i døgndrift. B-)
[1] Ja ja, eller vira.
--
Med venlig hilsen
Stig Johansen
| |
Alex Holst (21-07-2005)
| Kommentar Fra : Alex Holst |
Dato : 21-07-05 08:15 |
| | |
Stig Johansen (22-07-2005)
| Kommentar Fra : Stig Johansen |
Dato : 22-07-05 05:28 |
|
Alex Holst wrote:
> Stig Johansen wrote:
>> nå, tilbage igen, gud hvor ville det være rart med xplatform copy&paste
>> ...
>
> http://www.chiark.greenend.org.uk/~sgtatham/doit/
Downloaded, kompileret, installeret og testet.
Det virker sq*.
Tusind tak for den.
--
Med venlig hilsen
Stig Johansen
| |
Christian E. Lysel (21-07-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 21-07-05 09:54 |
| | |
Povl H. Pedersen (20-07-2005)
| Kommentar Fra : Povl H. Pedersen |
Dato : 20-07-05 20:11 |
|
In article <42dd7575$0$18648$14726298@news.sunsite.dk>, Stig Johansen wrote:
> Hej Alle.
>
> Jeg er i gang med at kortlægge angrebsforsøg på min forbindelse.
>
> Ad port 445:
> I den forbindelse er det lykkedes mig, at finde en tilstrækkelig
> dokumentation på CIFS, der gør, at jeg kan skelne mellem lovlige SMB
> blokke, og dem med overflow i.
> Spørgsmålet går her på, om der findes en site med oplysninger, så man kan
> fingerprinte malwaren.
Næh, du må prøve at fange de vira du kan. Og så slippe dem løs i en
sandkassemaskine.
> Ad Port 135,139,1433:
> Jeg synes, jeg har googlet rundt mht. cifs, og er lidt træt (det flyder ikke
> ligefrem med docs fra M$).
> Hvis der er nogen, der har et link til noget dokumentation vil jeg blive
> glad.
1433 er MS SQL. Port 135+139 er vel dokumenteret i Samba kildekoden.
> Ad Port 5000 samt IIS.
> Jeg har også bemærket en adfærd, hvor man prober port 139,445 samt 5000,
> umiddelbart efterfulgt[1] af en OPTIONS request til min server.
> Der er noget der tyder på, at man benytter port 5000 til at identificere
> target til XP.
> I den forbindelse kunne jeg godt tænke mig, at fake en IIS/XP.
> Desværre råder jeg ikke over XP, så hvis der er nogen med en XP/IIS , der
> gider at telnette op mod den og lave en OPTIONS på den, og poste headerne,
> så vil jeg også blive glad.
Port 5000 har ikke noget at gøre med Windows XP som sådan. Det er
Microsoft Universal Plug & Pray. de anbefaler virksomheder og andre
fornuftige kunder at slå det ihjel, da det er en gang lort.
| |
Stig Johansen (21-07-2005)
| Kommentar Fra : Stig Johansen |
Dato : 21-07-05 08:03 |
|
Povl H. Pedersen wrote:
> Næh, du må prøve at fange de vira du kan. Og så slippe dem løs i en
> sandkassemaskine.
Det bliver squ lidt svært på min linux dunk.
> 1433 er MS SQL.
Det ved jeg godt. Det er netop for at identificere sql slammer, eller hvad
der nu rør sig på den front.
> Port 135+139 er vel dokumenteret i Samba kildekoden.
Så meget gider jeg ikke at gøre ud af det.
Det var kun til lidt 'blær effekt', hvis jeg kunne pinpointe remote
malwaren.
Jeg skrev:
>> Der er noget der tyder på, at man benytter port 5000 til at identificere
>> target til XP.
>
> Port 5000 har ikke noget at gøre med Windows XP som sådan. Det er
> Microsoft Universal Plug & Pray.
I know, jeg havde tilfældigvis siden stående endnu, uddrag:
.....
The scan is actually performed on TCP port 5000 - if the port is found open
this is usually indicative of a Windows XP host.
.....
Bemærk: 'usually indicative of a Windows XP host'.
> de anbefaler virksomheder og andre
> fornuftige kunder at slå det ihjel, da det er en gang lort.
Ja, men hvis jeg slår den ihjel, kan jeg jo ikke logge aktiviteten på denne
port.
--
Med venlig hilsen
Stig Johansen
| |
Stig Johansen (21-07-2005)
| Kommentar Fra : Stig Johansen |
Dato : 21-07-05 08:06 |
|
BTW:
Hvis der nogle, der ønsker at køre en eller anden aktivitet på mine porte,
er i velkommen.
Men gider i så ikke at droppe en besked her, så jeg kan fjerne dem fra min
DB.
--
Med venlig hilsen
Stig Johansen
| |
|
|