/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Covert channel, eller en stupid linkspamme~
Fra : Anders Wegge Jakobse~


Dato : 24-09-05 21:34


Jeg er begyndt at få en gudsjammerlig masser requests som
nedenstående. De kommer fra alle mulige steder i verden, og hyppigt en
hel del gange fra den samme maskine. User-Agent er forskellig hver
gang, men det er den samme gang gibberish som nedenstående.

80.96.22.72 - - [24/Sep/2005:22:15:37 +0200] "GET \
/Politik/Indkomstudligning HTTP/1.1" 200 31374 "-" \
"lxbofovpheullt vdiK ykexh gljbb7kx7xbf"

Jeg er ret overbevist om at hvis det var en orm der forsøgte sig med
en buffer-overflow vektor, ville det være mod en ikke-eksisterende
URL og en meget længere streng. Mit næste bud er at det er nogen der
forsøger at lave en eller anden form for covert channel, men eftersom
min access_log ikke er offentligt tilgængelig, lyder det også lidt
langt ude. Men referer-spam kan det vel ikke just kaldes, medmindre
det er en spammer der bruger noget defekt software, eller bare ikke
kan finde ud af at sætte det korrekt op.

Er der andre der har set noget lignende, og har været nysgerrige nok
til at finde ud af hvad meningen egentlig er?

--
/Wegge
Min holdning til Usenet - <http://wiki.wegge.dk/Usenet>
Min weblog - <http://blog.wegge.dk/>

 
 
johndoe4520 (24-09-2005)
Kommentar
Fra : johndoe4520


Dato : 24-09-05 23:08

hmm, måske det er krypteret det du ser og du har fået installeret en
trojaner som broadcaster din IP, og det du ser i firewall'en er alle
dem som nu skal til at misbruge din PC ved at sende gennem den.
Bare et rigtigt kvalificeret gæt fra en mesterhacker


Anders Wegge Jakobse~ (24-09-2005)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 24-09-05 23:58

"johndoe4520" == johndoe4520 <johndoe4520.1.postservice@spamgourmet.com> writes:

> hmm, måske det er krypteret det du ser og du har fået installeret en
> trojaner som broadcaster din IP, og det du ser i firewall'en er alle
> dem som nu skal til at misbruge din PC ved at sende gennem den.

Nu bruger jeg ikke firewall, men derimod en PAT router, så jeg tror
du er en anelse på vildspor. Det var et klip fra logfilen på min
webserver, og jeg vil tillade mig at tvivle på at folk laver en trojan
på min egen webserver, blot for at tilgå sider på den selvsamme
webserver

> Bare et rigtigt kvalificeret gæt fra en mesterhacker

Kvalificeret kan vi så diskutere, men et gæt vil jeg gå med til at
det var


--
/Wegge
Min holdning til Usenet - <http://wiki.wegge.dk/Usenet>
Min weblog - <http://blog.wegge.dk/>

Stig Johansen (25-09-2005)
Kommentar
Fra : Stig Johansen


Dato : 25-09-05 05:25

Anders Wegge Jakobsen wrote:

>
> Jeg er begyndt at få en gudsjammerlig masser requests som
> nedenstående. De kommer fra alle mulige steder i verden, og hyppigt en
> hel del gange fra den samme maskine. User-Agent er forskellig hver
> gang, men det er den samme gang gibberish som nedenstående.
>
> 80.96.22.72 - - [24/Sep/2005:22:15:37 +0200] "GET \
> /Politik/Indkomstudligning HTTP/1.1" 200 31374 "-" \
> "lxbofovpheullt vdiK ykexh gljbb7kx7xbf"
>

Nu giver du kun eet eksempel, men hvis det er forskellige eksisterende
URL'er, kunne et bud være systematisk søgning efter formmail script til
udsendelse af spam.

Et andet bud kunne være søgning efter php/perl sårbarheder til at installere
noget botware - hmm, er der egentlig noget, der hedder sådan?.

Du kunne evt. sammenholde din log med optræden af links på dine sider.

--
Med venlig hilsen
Stig Johansen

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste