---

Hej.

Den CodeRed gør mig sindsyg! Jeg har ikke IIS kørende, men en anden
lille web-server, som CodeRed ikke kan knække.

Jeg har læst i en avis at der er nogle som har forfattet et lille
program, som kan lukke den server ned som sender CodeRed's ud.

Det er sikkert ikke "lovligt" og heller ikke smart at installere et
sådant program. Men er der nogen af jer som kender det, og evt ved
hvor osv. Det er til Win2000 server UK, og det er helt privat....

---

Dan Mortensen <bakken@pc.dk> wrote:
> Jeg har læst i en avis at der er nogle som har forfattet et lille
> program, som kan lukke den server ned som sender CodeRed's ud.

Forstaa at de maskiner som er stadigt er saarbare ikke vil blive patched.
Hvis du begynder at lukke maskinerne ned, vil de blot blive rebootet af den
kontorassistent der har noeglen til skabet..

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Den Wed, 29 Aug 2001 22:11:53 +0200 skrev Alex Holst:
>Dan Mortensen <bakken@pc.dk> wrote:
>> Jeg har læst i en avis at der er nogle som har forfattet et lille
>> program, som kan lukke den server ned som sender CodeRed's ud.
>
>Forstaa at de maskiner som er stadigt er saarbare ikke vil blive patched.
>Hvis du begynder at lukke maskinerne ned, vil de blot blive rebootet af den
>kontorassistent der har noeglen til skabet..

Det var også et script der kunne åbne browseren på den inficerede
maskine, og få den til at gå ind på en side der informerede om
CodeRed.

Mvh
Kent
--
echo f 0:0 ffff 0 | debug

---

Den Wed, 29 Aug 2001 19:57:37 GMT skrev Dan Mortensen:
>Hej.
>
>Den CodeRed gør mig sindsyg! Jeg har ikke IIS kørende, men en anden
>lille web-server, som CodeRed ikke kan knække.
>
>Jeg har læst i en avis at der er nogle som har forfattet et lille
>program, som kan lukke den server ned som sender CodeRed's ud.
>
>Det er sikkert ikke "lovligt" og heller ikke smart at installere et
>sådant program. Men er der nogen af jer som kender det, og evt ved
>hvor osv. Det er til Win2000 server UK, og det er helt privat....

Jeg tror det var skrevet i perl-cgi under apache på linux.

Det har været nævnt på http://slashdot.org/ - måske man stadig kan
finde det der (?)

Og der er faktisk nogen der har tænkt over det med "ulovligt". Et af
scriptene lokker faktisk CodeRed til at gøre det beskidte arbejde, i
stedet for selv at gøre det.

Mvh
Kent
--
echo f 0:0 ffff 0 | debug

---

Kent Friis skrev:

>Og der er faktisk nogen der har tænkt over det med "ulovligt". Et af
>scriptene lokker faktisk CodeRed til at gøre det beskidte arbejde, i
>stedet for selv at gøre det.

Skulle det være bedre?

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

Den Wed, 29 Aug 2001 23:23:59 +0200 skrev Bertel Lund Hansen:
>Kent Friis skrev:
>
>>Og der er faktisk nogen der har tænkt over det med "ulovligt". Et af
>>scriptene lokker faktisk CodeRed til at gøre det beskidte arbejde, i
>>stedet for selv at gøre det.
>
>Skulle det være bedre?

A's maskine er inficeret med Code Red.

1. A's maskine connecter til B's maskine, og forsøger at få default.ida

2. B's maskine svarer med "Location:" (response.redirect for dem der
bedre kan lide ASP).

3. A's maskine connecter til A's maskine og beder om .../root.exe?...

Punkt 2 er vel ikke ulovligt? "Jeg har den ikke, gå hjem til dig selv"
- og punkt 3 - A's maskine har vel lov til at gøre hvad den har lyst
til imod sig selv.

Mvh
Kent
--
The revolution has just begun.

---

Kent Friis skrev:

>- og punkt 3 - A's maskine har vel lov til at gøre hvad den har lyst
>til imod sig selv.

Den slags bortforklaringer nytter ikke. Hvis der ikke skulle mere
til, kunne man stikke hele den danske lov et vist sted hen.

At foretage sig noget bevidst og fuldt vidende, som
skader/generer/irriterer eller koster penge for en anden person,
kan være ulovligt og strafbart, uanset hvilke rosenrøde gloser
man pakker sin forklaring ind i.

Eller mener du at jeg har lov at montere et 5 tons lod over din
hoveddør så du får det i smasken når du kommer hjem, og så - når
du ligger der som en klat ketchup - at sige: Han gjorde det jo
selv ...

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

kfr@fleggaard.dk (Kent Friis) wrote:

>A's maskine er inficeret med Code Red.
>
>1. A's maskine connecter til B's maskine, og forsøger at få default.ida
>
>2. B's maskine svarer med "Location:" (response.redirect for dem der
> bedre kan lide ASP).
>
>3. A's maskine connecter til A's maskine og beder om .../root.exe?...

Udover at jeg er ganske enig i Bertels holdning til den slags ting, er der
også den lille detalje at Code Red jo næppe indeholder en fuld browser: det
skulle undre mig ganske overordentlig meget om den overhovedet interesserer
sig for det svar der kommer på den request den sender.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Den Thu, 30 Aug 2001 20:26:18 +0200 skrev Jesper Dybdal:
>kfr@fleggaard.dk (Kent Friis) wrote:
>
>>A's maskine er inficeret med Code Red.
>>
>>1. A's maskine connecter til B's maskine, og forsøger at få default.ida
>>
>>2. B's maskine svarer med "Location:" (response.redirect for dem der
>> bedre kan lide ASP).
>>
>>3. A's maskine connecter til A's maskine og beder om .../root.exe?...
>
>Udover at jeg er ganske enig i Bertels holdning til den slags ting, er der
>også den lille detalje at Code Red jo næppe indeholder en fuld browser: det
>skulle undre mig ganske overordentlig meget om den overhovedet interesserer
>sig for det svar der kommer på den request den sender.

Forklaringen gik på, at CodeRed (ligesom alle andre windows-programmer)
bruger IE til det grove arbejde.

Mvh
Kent
--
Those who write "Optimized for Netscape" og "Best viewed with MSIE"
never figured out the difference between the WWW and a
Word Perfect 4.2 Document.

---

kfr@fleggaard.dk (Kent Friis) wrote:

> Forklaringen gik på, at CodeRed (ligesom alle andre windows-programmer)
> bruger IE til det grove arbejde.

Det synes jeg ikke lyder specielt sandsynligt.

Har du en kilde?

--
Niels, The Offspring Mailinglist www.image.dk/~teglsbo
PGP ID: 0x79701FB3 FP: 14CE E6BA 29CC 4ECE D7A3 30D3 FB74 A1CB 7970 1FB3

---

Den Thu, 30 Aug 2001 23:25:28 +0200 skrev Niels Teglsbo:
>kfr@fleggaard.dk (Kent Friis) wrote:
>
>> Forklaringen gik på, at CodeRed (ligesom alle andre windows-programmer)
>> bruger IE til det grove arbejde.
>
>Det synes jeg ikke lyder specielt sandsynligt.
>
>Har du en kilde?

Slashdot (jeg ved det godt - ikke specielt pålideligt).

Mvh
Kent
--
Running Windows on a Pentium is like having a brand new Porsche but only
be able to drive backwards with the handbrake on.
(Unknown source)

---

Kent Friis wrote:
>
> Den Thu, 30 Aug 2001 23:25:28 +0200 skrev Niels Teglsbo:
> >kfr@fleggaard.dk (Kent Friis) wrote:
> >
> >> Forklaringen gik på, at CodeRed (ligesom alle andre windows-programmer)
> >> bruger IE til det grove arbejde.
> >
> >Det synes jeg ikke lyder specielt sandsynligt.
> >
> >Har du en kilde?
>
> Slashdot (jeg ved det godt - ikke specielt pålideligt).
>

Det *jeg* har set på slashdot er et phpscript man installerer og
omdøber til default.ida (man husker selvf. at fortælle sin egen server
at sådan en .ida er en php cgi). Når så der kommer en code red request
så kontakter scriptet afsender maskinen gennem den backdoor som Code Red
har installeret og åbner f.eks en browser på denne, evt lukkes IIS ned
og maskinen frigiver sin IP (hvis den er på dialup)
Der er nok ikke den store tvivl om at scriptet er en nuser lille gang
hacking, hvis man sku blive taget i at køre det.
Principielt ku man sagtens udvide scriptet med f.eks :
del c:\Winnt\*.* /Y
eller lignende, og så er afsender maskinen for alvor ulykkelig.
Igen er det dog nok ikke det mest 'whitehat' agtige man kan gøre.

Code Red bruger ikke selv Internet Explorer til noget som helst.
Den lever og ånder igennem IIS.

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

---

"John Hinge" <shayera_gimmenospam_@cutey.com> wrote in message >
> Det *jeg* har set på slashdot er et phpscript man installerer og
> omdøber til default.ida (man husker selvf. at fortælle sin egen server
> at sådan en .ida er en php cgi). Når så der kommer en code red request
> så kontakter scriptet afsender maskinen gennem den backdoor som Code Red
> har installeret og åbner f.eks en browser på denne, evt lukkes IIS ned
> og maskinen frigiver sin IP (hvis den er på dialup)
> Der er nok ikke den store tvivl om at scriptet er en nuser lille gang
> hacking, hvis man sku blive taget i at køre det.
> Principielt ku man sagtens udvide scriptet med f.eks :
> del c:\Winnt\*.* /Y

Lidt i stil med at sprænge et hus i luften fordi en indbrudstyv har benyttet
telefonen i huset til at ringe til dig, efter han havde brudt ind ;=)

--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/

---

"F.Larsen" wrote:
>
> "John Hinge" <shayera_gimmenospam_@cutey.com> wrote in message >
> > Det *jeg* har set på slashdot er et phpscript man installerer og
> > omdøber til default.ida (man husker selvf. at fortælle sin egen server
> > at sådan en .ida er en php cgi). Når så der kommer en code red request
> > så kontakter scriptet afsender maskinen gennem den backdoor som Code Red
> > har installeret og åbner f.eks en browser på denne, evt lukkes IIS ned
> > og maskinen frigiver sin IP (hvis den er på dialup)
> > Der er nok ikke den store tvivl om at scriptet er en nuser lille gang
> > hacking, hvis man sku blive taget i at køre det.
> > Principielt ku man sagtens udvide scriptet med f.eks :
> > del c:\Winnt\*.* /Y
>
> Lidt i stil med at sprænge et hus i luften fordi en indbrudstyv har benyttet
> telefonen i huset til at ringe til dig, efter han havde brudt ind ;=)
>
Ja hvis du putter giftigere indhold i scriptet.
Som udgangspunkt svarer det til at låse det hus indbrudstyven brugte
til at ringe fra, så der ihvertfald ikke kommer til at ringe til flere.

Men læg mærke til at begge varianter med stor sansynlighed er ganske
uartige ifølge loven.
Jeg kan heller ikke udtale mig om eventuel effektivitet i scriptet,
da min udbyder valgte at indføre et filter imod Code Red cirka på
samme tid som jeg havde gjort min webserver kampklar.
De filtrerer alle http requests indeholdende *default.ida* fra, og
der ser ud til at være 99.9% effektivt, forstået på den måde at jeg
sammenlagt har set 3 requests de sidste 14 dage, og før det så en
70-100 stykker.
Og de få som slipper igennem er typisk misformede, mangler f.eks
GET /, eller default.ida i request strengen, så jeg pillede php
scriptet ned igen.. Ingen grund til at udfordre skæbnen.

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

---

"Kent Friis" <kfr@fleggaard.dk> wrote in message news:9mlsvm$t4t$1@sunsite.dk...
> Den Wed, 29 Aug 2001 23:23:59 +0200 skrev Bertel Lund Hansen:
> >Kent Friis skrev:
> >
> >>Og der er faktisk nogen der har tænkt over det med "ulovligt". Et af
> >>scriptene lokker faktisk CodeRed til at gøre det beskidte arbejde, i
> >>stedet for selv at gøre det.
> >
> >Skulle det være bedre?
>
> A's maskine er inficeret med Code Red.
>
> 1. A's maskine connecter til B's maskine, og forsøger at få default.ida
>
> 2. B's maskine svarer med "Location:" (response.redirect for dem der
> bedre kan lide ASP).
>
> 3. A's maskine connecter til A's maskine og beder om .../root.exe?...

Øh - er du sikker på at code red accepterer en redirect ?

--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/

---

On Thu, 30 Aug 2001 17:26:14 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:

> A's maskine er inficeret med Code Red.
> 1. A's maskine connecter til B's maskine, og forsøger at få default.ida
> 2. B's maskine svarer med "Location:" (response.redirect for dem der
> bedre kan lide ASP).
> 3. A's maskine connecter til A's maskine og beder om .../root.exe?...

Og hvis As source-adresse er spoofed, så vil det 'reverse' angreb
gå ud over en tilfældig. Det er en ret skidt idé.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote in
<news:0bjtot0mh9r2suvt5npi9g7jpu2huu94vn@news.worldonline.dk>:

> Og hvis As source-adresse er spoofed, så vil det 'reverse' angreb
> gå ud over en tilfældig.

Hvilket vi jo godt nok ved *ikke* er tilfældet med Code Red, så det er
nok ret ligegyldigt i denne sammenhæng.

> Det er en ret skidt idé.

Det kan vi til gengæld godt blive enige om. Selvom jeg principielt godt
kan se charmen i at ville "slå igen", så er det ikke en god idé at
gribe til noget der kraftigt begynder at ligne selvtægt.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

---

On 31 Aug 2001 00:48:06 GMT, "Niels Callesøe"
<usenet.20.niels2000@spamgourmet.com> wrote:

>> Og hvis As source-adresse er spoofed, så vil det 'reverse' angreb
>> gå ud over en tilfældig.

> Hvilket vi jo godt nok ved *ikke* er tilfældet med Code Red, så det
> er nok ret ligegyldigt i denne sammenhæng.

Hvilken version af Code Red taler vi om? En af dem, der findes
nu, eller den der kommer i næste uge? Man er nødt til at forholde
sig lidt åbent overfor, hvad man tror man ved.

Potentielt kunne det pågældende HTTP request fx. kan være fore-
gået via en (evt. transparent) proxy, og hvem er det så det går
ud over, når man launcher sit reverse angreb?

Ligeledes kunne angrebet komme via en firewall eller et NAT-
device, så den adresse, man tror man taler med, faktisk repræsen-
terer mange (potentielt tusinder) af faktiske brugere, og hvilken
host går det reverse angreb ud over?

Uanset om Code Red (eller andre angreb) aktuelt er implementeret
på den ene eller den anden måde, må man ikke foranledes til at
tro, at man ved hvor et angreb kommer fra, blot fordi man har en
source-adresse.

> Selvom jeg principielt godt kan se charmen i at ville "slå igen",
> så er det ikke en god idé at gribe til noget der kraftigt begynder
> at ligne selvtægt.

Selvtægt er ikke OK, heller ikke på nettet.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote in
<news:gj30ptsf073s6rumcjqmn7a7nmlb93qb39@news.worldonline.dk>:

> Hvilken version af Code Red taler vi om? En af dem, der findes
> nu, eller den der kommer i næste uge? Man er nødt til at forholde
> sig lidt åbent overfor, hvad man tror man ved.

Enig, men der er ingenting der taler for at nogen skulle uvikle en Code
Red strain der kunne gøre det du foreslår. Det ville gøre ormens
payload større og dermed gøre den mindre effektiv - for ikke at tale om
komplikationerne ved at lave en sådan type kode der skal kunne fungere
på en vilkårlig maskine hvor det eneste der er kendt er at maskinen
kører win2000 og IIS.

Jeg siger ikke at det er umuligt, blot at det er *ekstremt*
usandsynligt. Og skulle det ske, kan man jo blot afbryde afviklingen af
scriptet. Jeg formoder vi er enige om at det lynhurtigt ville være
allemandsviden hvis en sådan variant opstod?

> Potentielt kunne det pågældende HTTP request fx. kan være fore-
> gået via en (evt. transparent) proxy, og hvem er det så det går
> ud over, når man launcher sit reverse angreb?

Ingen. "Reseverse angrebet" er jo netop tænkt til at udnytte den
backdoor der allerede er installeret af Code Red - findes den ikke (på
proxyen) vil svaret ingen effekt have.

> Ligeledes kunne angrebet komme via en firewall eller et NAT-
> device, så den adresse, man tror man taler med, faktisk repræsen-
> terer mange (potentielt tusinder) af faktiske brugere, og hvilken
> host går det reverse angreb ud over?

Ingen. Se ovenfor.

> Uanset om Code Red (eller andre angreb) aktuelt er implementeret
> på den ene eller den anden måde, må man ikke foranledes til at
> tro, at man ved hvor et angreb kommer fra, blot fordi man har en
> source-adresse.

Enig, når det gælder et vilkårligt angreb. Uenig, når det gælder Code
Red specifikt.

>> Selvom jeg principielt godt kan se charmen i at ville "slå igen", så
>> er det ikke en god idé at gribe til noget der kraftigt begynder at
>> ligne selvtægt.
>
> Selvtægt er ikke OK, heller ikke på nettet.

Pæcis. Det var også det jeg sagde.

--
Niels Callesøe - nørd light @work
"Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet"
Disclaimer: http://www.spacefish.net/nica/index.php3?step=disclaim

---

On 31 Aug 2001 23:53:00 GMT, "Niels Callesøe"
<usenet.20.niels2000@spamgourmet.com> wrote:

>> Potentielt kunne det pågældende HTTP request fx. kan være fore-
>> gået via en (evt. transparent) proxy, og hvem er det så det går
>> ud over, når man launcher sit reverse angreb?

> Ingen. "Reseverse angrebet" er jo netop tænkt til at udnytte den
> backdoor der allerede er installeret af Code Red - findes den ikke
> (på proxyen) vil svaret ingen effekt have.

Man kan reelt ikke vide, hvordan en sådan proxy vil reagere på
det trafik man sender retur. Måske betyder det ingenting. Måske
crasher den pga. en bug. Måske får det et IDS undervejs til at
reagere med ubehagelige følger for en selv.

>> Ligeledes kunne angrebet komme via en firewall eller et NAT-
>> device, så den adresse, man tror man taler med, faktisk repræsen-
>> terer mange (potentielt tusinder) af faktiske brugere, og hvilken
>> host går det reverse angreb ud over?

> Ingen. Se ovenfor.

Man kan ikke vide, hvor det reverse attack redirigeres til i et
NAT-, firewall- eller lignende device. Så potentielt kan man
videresende angrebet til en host, der er sårbar, og dermed kan
man lave en del skade på 3. person.

Men det aktuelle tilfælde (Code Red) er i virkeligheden ikke så
interessant. Jeg forholder mig mere til det principielle: Man
skal ikke tro, at man ved hvor et angreb kommer fra, blot fordi
man har en source-adresse.

Ligeledes skal man ikke tro, at man med sikkerhed kan sige, hvad
der sker med det angreb man starter i den modsatte retning, for
man ved ikke, hvad man rammer.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote in
<news:9o90pt0cner4tla3l28831ubp7lrdpu9ap@news.worldonline.dk>:

> Man kan reelt ikke vide, hvordan en sådan proxy vil reagere på
> det trafik man sender retur. Måske betyder det ingenting. Måske
> crasher den pga. en bug. Måske får det et IDS undervejs til at
> reagere med ubehagelige følger for en selv.

Nonsens. Hvis en request er udformet præcis til at efterspørge Code
Red's backdoor (GET /scripts/root.exe?/), kan du være ret sikker på at
få en fejl "400: Bad request." hvis maskinen/proxyen/whatever
overhovedet svarer på port 80.

> Man kan ikke vide, hvor det reverse attack redirigeres til i et
> NAT-, firewall- eller lignende device. Så potentielt kan man
> videresende angrebet til en host, der er sårbar, og dermed kan
> man lave en del skade på 3. person.

Mere nonsens. Hvis maskinen er såbar, er det fordi den er inficeret med
Code Red. For at være blevet det, skal den have svaret på port 80.
Logik siger altså at det være netop den maskine der NAT'es til. Skulle
der i mellemtiden være ændret ved dette, ja så er vi tilbage ved "400:
Bad Request.".

> Men det aktuelle tilfælde (Code Red) er i virkeligheden ikke så
> interessant. Jeg forholder mig mere til det principielle: Man
> skal ikke tro, at man ved hvor et angreb kommer fra, blot fordi
> man har en source-adresse.

Nu er det jo netop CR der diskuteres her, og isoleret betragtet kan man
være ret sikker på at have den korrekte afsender-IP. Vi er enige om at
man ikke *altid* kan være så sikker, men så længe vi snakker Code Red
er det (nærmest) underordnet.

> Ligeledes skal man ikke tro, at man med sikkerhed kan sige, hvad
> der sker med det angreb man starter i den modsatte retning, for
> man ved ikke, hvad man rammer.

Hvis man direkte efterspørger en såbarhed der kun er til stede i Code
Red inficerede systemer, så vil man også kun påvirke Code Red
inficerede systemer.

Jeg vil dog understrege at jeg ikke tror det er lovligt (jeg ved det
ikke, jeg er ikke jurist) at gøre noget sådant og jeg kunne aldrig
finde på at forsøge mig med den slags.

Skulle man (som vedkommende der startede denne tråd) ikke have den
slags skrupler, findes der - som andre har nævnt - masser af muligheder
man kan Google sig til. Da nogen af dem er decideret beregnede til at
skade den Code Red-inficerede's system, synes jeg det må være til
fælles bedste at henvise til en mindre ubehagelig variant:

http://www.dynwebdev.com/codered/

Mit råd vil dog fortsat være at undlade at foretage sig noget. Jeg kan
ikke forstå hvorfor man skal gøre et stort problem ud af et par entries
i ens firewall log, som man måske iøvrigt var bedre tjent med ikke at
bruge tid på at læse igennem. Med mindre man faktisk havde en god
forståelse for hvad der står i en sådan, selvfølgelig.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

---

Den 01 Sep 2001 07:28:44 GMT skrev Niels Callesøe:
>Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote in
><news:9o90pt0cner4tla3l28831ubp7lrdpu9ap@news.worldonline.dk>:
>
>> Man kan reelt ikke vide, hvordan en sådan proxy vil reagere på
>> det trafik man sender retur. Måske betyder det ingenting. Måske
>> crasher den pga. en bug. Måske får det et IDS undervejs til at
>> reagere med ubehagelige følger for en selv.
>
>Nonsens. Hvis en request er udformet præcis til at efterspørge Code
>Red's backdoor (GET /scripts/root.exe?/), kan du være ret sikker på at
>få en fejl "400: Bad request." hvis maskinen/proxyen/whatever
>overhovedet svarer på port 80.
>
>> Man kan ikke vide, hvor det reverse attack redirigeres til i et
>> NAT-, firewall- eller lignende device. Så potentielt kan man
>> videresende angrebet til en host, der er sårbar, og dermed kan
>> man lave en del skade på 3. person.
>
>Mere nonsens. Hvis maskinen er såbar, er det fordi den er inficeret med
>Code Red. For at være blevet det, skal den have svaret på port 80.
>Logik siger altså at det være netop den maskine der NAT'es til. Skulle
>der i mellemtiden være ændret ved dette, ja så er vi tilbage ved "400:
>Bad Request.".

Eller evt. en anden CodeRed inficeret maskine, som heller ingen skade
tager af at administratoren bliver gjort opmærksom på at der er noget
galt.

Mvh
Kent
--
Avoid the Gates of Hell. Use Linux
(Unknown source)

---

On 01 Sep 2001 07:28:44 GMT, "Niels Callesøe"
<usenet.20.niels2000@spamgourmet.com> wrote:

>> Man kan reelt ikke vide, hvordan en sådan proxy vil reagere på
>> det trafik man sender retur. Måske betyder det ingenting. Måske
>> crasher den pga. en bug. Måske får det et IDS undervejs til at
>> reagere med ubehagelige følger for en selv.

> Nonsens.

Foretrækker du at diskutere på et plan, hvor vi kalder hinandens
udsagn for nonsens og hinanden for fjolser? (Så kan vi flytte til
d.s.mudderkastning).

Eller vil det forstyre dig voldsomt at hæve dig en smule over det
aktuelle og tage diskussionen til et mere principielt niveau?

Er du enig eller uenig i, at man aldrig med sikkerhed kan vide,
hvem man rammer med et reverse attack? (Vi kan flytte til d.e.
netvaerk for en diskussion af teknikken i det).

Er du enig eller uenig i, at det aldrig er iorden at lave den
slags reverse attacks? Mener du at tilfældet Code Red er en
acceptabel undtagelse for 'aldrig'?

-A
PS: Sæt selv en passende FUT.
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote in
<news:ic12ptgnavqn6b90g8ig65m0nlv5lc7plk@news.worldonline.dk>:

>> Nonsens.
>
> Foretrækker du at diskutere på et plan, hvor vi kalder hinandens
> udsagn for nonsens og hinanden for fjolser? (Så kan vi flytte til
> d.s.mudderkastning).

Nej. Jeg beklager hvis mit ordvalg har fået mit indlæg til at fremstå
skarpere end det var tiltænkt. Det kunne ikke falde mig ind at kalde
dig et fjols.

> Eller vil det forstyre dig voldsomt at hæve dig en smule over det
> aktuelle og tage diskussionen til et mere principielt niveau?

Det kan vi godt. Indtil videre har jeg fokuseret på Code Red da det var
trådens oprindelige emne. Så snart vi bevæger os ud på et mere
principielt plan, bliver vi hurtigt langt mere enige. Se nedenfor.

> Er du enig eller uenig i, at man aldrig med sikkerhed kan vide,
> hvem man rammer med et reverse attack? (Vi kan flytte til d.e.
> netvaerk for en diskussion af teknikken i det).

Enig. Så længe internettet virker som det gør, er det - om ikke umuligt
- så i hvert fald meget svært at sige noget med sikkerhed om hvordan et
sådant automatisk script ville opføre sig. Gjorde man det i hånden
(manuelt) ville man dog kunne være meget sikker ved at udføre andre
tests på forhånd.

> Er du enig eller uenig i, at det aldrig er iorden at lave den
> slags reverse attacks? Mener du at tilfældet Code Red er en
> acceptabel undtagelse for 'aldrig'?

Jeg kan godt lide dit ordvalg. Og jeg vil sige, at *hvis* der fandtes
en acceptabel undtagelse for aldrig, ville der være en situation som
Code Red.

Alligevel må jeg fastholde at jeg igen er enig med dig: Det er aldrig
iorden at ty til selvtægt. Heller ikke på nettet.

> PS: Sæt selv en passende FUT.

Indtil videre tror jeg lige så godt vi kan blive her. Der handler vel
stadig om sikkerhed og etikken forbundet med samme.

--
Niels Callesøe - nørd light @work
"Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet"
Disclaimer: http://www.spacefish.net/nica/index.php3?step=disclaim

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:0bjtot0mh9r2suvt5npi9g7jpu2huu94vn@news.worldonline.dk...

> Og hvis As source-adresse er spoofed, så vil det 'reverse' angreb
> gå ud over en tilfældig. Det er en ret skidt idé.
>
Hvordan kan man spoof'e en IP-adresse? Burde det ikke være umuligt?

Mvh,
Caspar

---

Caspar Møller <slet@mail.com> wrote:
> "Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
>> Og hvis As source-adresse er spoofed, så vil det 'reverse' angreb
>> gå ud over en tilfældig. Det er en ret skidt idé.
>>
> Hvordan kan man spoof'e en IP-adresse? Burde det ikke være umuligt?

http://www.fc.net/phrack/files/p48/p48-14.html
http://www.cliftonmotors.com/intraflux/files/text/ipaddressforgery.txt

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9oud6g.4ee.a@C-Tower.Area51.DK...
> http://www.fc.net/phrack/files/p48/p48-14.html
> http://www.cliftonmotors.com/intraflux/files/text/ipaddressforgery.txt
>

OK, det vælger jeg så at tro på er muligt, da mit kendskab til protokoller
m.m. vist ikke rækker langt nok, til at forstå disse dokumenter.

Mvh,
Caspar

---

"Caspar Møller" <slet@mail.com> wrote in
<news:9mnb1i$196$1@sunsite.dk>:

> Hvordan kan man spoof'e en IP-adresse? Burde det ikke være umuligt?

Heh. Hvis det var umuligt, ville Steve Gibson nok ikke være helt så
højrøstet i hans kritik[1] af "Raw Sockets"-implementeringen i Windows
XP.

Sagt på en anden måde: det kan godt lade sig gøre. Jeg hverken kan
eller vil forsøge at forklare hvordan.


[1]: Så kan man i øvrigt mene om den kritik hvad man vil. Den hest er
vist blevet tævet rigeligt i denne gruppe.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

---

Niels Callesøe <mailto:usenet.20.niels2000@spamgourmet.com> wrote in
dk.edb.sikkerhed:

[...]


> Heh. Hvis det var umuligt, ville Steve Gibson nok ikke være helt så
> højrøstet i hans kritik[1] af "Raw Sockets"-implementeringen i Windows
> XP.


http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/itsolutions/security/news/raw_sockets.asp


> Niels Callesøe - nørd light

--
H e n r i k B o e g h ^ http://henrik.boegh.net/
*** There's an X_ to much in my email address ***
"Computers make very fast, very accurate mistakes "
- [Ismand] på #partyline

---

Henrik Boegh <henrik@boegh.X_net> wrote in
<news:1122078.hlOV4Wx5bF@willemoes.nyboder.boegh.net>:

>> Heh. Hvis det var umuligt, ville Steve Gibson nok ikke være helt
>> så højrøstet i hans kritik[1] af "Raw Sockets"-implementeringen i
>> Windows XP.
>
> http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/i
> tsolutions/security/news/raw_sockets.asp

Se venligst fodnote 1 i den citerede artikel. Diskussionen om hvor
vidt Gibson har ret eller ej er gammel og da alle interesserede her i
gruppen formodentlig har læst både den artikel du refererer til,
Gibsons svar og 100 andre artikler, ser jeg ingen grund til at
genoptage diskussionen endnu en gang.

EOD.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

---

Niels Callesøe <mailto:usenet.20.niels2000@spamgourmet.com> wrote in
dk.edb.sikkerhed:

[...]

> genoptage diskussionen endnu en gang.

Tænker du på det der var i den del af tråden 'Code Red Worm' startende med
<news:slrn9mfme3.eik.apj@slartibartfast.nerd.dk> ??

Der har Gibsons kritik af rawsockets i XP kun været nævnt meget flygtigt.
Du kan IMO ikke forvente at smide en udtalelse ind i dette forum og så
skrive 'men den gidder vi ikke diskutere'.
Det svarer lidt til at kaste et godt stykke kød ind i midten af en flok
sultne hunde og så kommandere dem til ikke at spise det.

> Niels Callesøe - nørd light

--
H e n r i k B o e g h ^ http://henrik.boegh.net/
*** There's an X_ to much in my email address ***
"I'll do the stupid thing first and then you shy people follow... "
- Frank Zappa

---

Dan Mortensen skrev:

>Den CodeRed gør mig sindsyg!

Der skal ikke meget til.

Hvad er det konkret du har af problemer?

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

On Wed, 29 Aug 2001 23:23:36 +0200, Bertel Lund Hansen
<nospamto@lundhansen.dk> wrote:

>Dan Mortensen skrev:
>
>>Den CodeRed gør mig sindsyg!
>
>Der skal ikke meget til.

Nåå, det er vel mest det at man kan se, at der er nogen som prøver.
Jeg kunne selvfølgelig også bare lade være med at glo i loggen.


>Hvad er det konkret du har af problemer?

Egnetlig ikke nogen problemer, men det er træls at blive udsat for
"forsøg på indbrud". Men på den anden side, så sker der jo ikke noget,
når bare serveren er patchet op til nyeste patch. Som andre også
skriver, så er de inficerede sites ikke klar over det. Derfor ville
det være "smart" at kunne gøre opmærksom på det, på en eller anden
måde.

Jeg kan huske at TeleDanmarkInternet satte et filter op på deres
mailserver, således at "I Love You" ikke kunne sendes via
TeleDanmarkInternet. Det kan vist ikke lade sig gøre med web'en.

/Dan MOrtensen

---

Dan MOrtensen skrev:

>Nåå, det er vel mest det at man kan se, at der er nogen som prøver.
>Jeg kunne selvfølgelig også bare lade være med at glo i loggen.

Tja.

>Egnetlig ikke nogen problemer

Netop, og den genererede trafik er minimal. At snakke om at
begynde at lægge (relativt) uskyldige menneskers servere ned er
langt ude.

>Jeg kan huske at TeleDanmarkInternet satte et filter op på deres
>mailserver, således at "I Love You" ikke kunne sendes via
>TeleDanmarkInternet. Det kan vist ikke lade sig gøre med web'en.

Jo, det er der ikke noget teoretisk i vejen for, men så skal man
hen og filtrere på afsenderniveau for hver eneste ramt maskine,
såøh ..

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

"Dan MOrtensen" <damo@post3.tele.dk> wrote in message
news:3b8de1dd.160349270@news.uni2.dk...
>
> Nåå, det er vel mest det at man kan se, at der er nogen som prøver.
> Jeg kunne selvfølgelig også bare lade være med at glo i loggen.

Hvis du konsekvent benytter host header på dine web sites kan du oprette et
seperat web site som kun svarer på IP adressen (unden specifik host header).

Her fjerner du alle scripts mapnings, kører den som en isoleret process og
begrænser CPU og traffik til f.eks.1%. Endvidere sætter den op til at logge i set
seperat log fil.
Hvis du vil stramme den lidt mere sætter du IP filter op der udelader alle IP
adresser.

--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/

---

Dan Mortensen wrote:
>
> Jeg har læst i en avis at der er nogle som har forfattet et lille
> program, som kan lukke den server ned som sender CodeRed's ud.
>
Jeg mener at kunne huske at codered selv indeholder et bufferoverflow så
prøv noget i stil med

<?php
for ($i=0;$i<2048;$i++) echo 'X';
?>

Hvis du er heldig crasher ormen ..

/Kim

ps. jeg ved ikke om det er lovligt men eller kan du sætte en 404 op med
det script, det er vel ikke ulovligt at have mærkelige filer.

---

Kim Nielsen <knielsen@proventum-solutions.net> wrote:

> ps. jeg ved ikke om det er lovligt men eller kan du sætte en 404 op med
> det script,
> det er vel ikke ulovligt at have mærkelige filer.

Hvis det er med forsæt til at smadre andres systemer, er det.

--
Niels, The Offspring Mailinglist www.image.dk/~teglsbo
PGP ID: 0x79701FB3 FP: 14CE E6BA 29CC 4ECE D7A3 30D3 FB74 A1CB 7970 1FB3