217.216.202.60 - - [09/Mar/2004:16:46:41 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 282 "-" "-"
217.216.202.60 - - [09/Mar/2004:16:46:43 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299 "-" "-"
217.216.202.60 - - [09/Mar/2004:16:46:49 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299 "-" "-"

kaum ein paar stunden online schon ein crack versuch.

wie kann ich herrausfinden welche daten meinen pc verlassen haben?

der typ ist sogar noch online :mad:

Schnell einen "net send <ip> You have been caught hacking ..." und er macht sich in die Hosen. Die meisten von diesen Kerlen sind doch Script-Kiddies, die ihre Warscripts irgendwo im IRC aufgestöbert haben und noch nicht einmal wissen, daß TCP/IP böse Bindungen unter Windows hat.

Warum glaubst du, daß Daten deinen PC verlassen haben? Damit wird er doch unter Linux keinen Erfolg haben.

AD!

Weil die Festplatte zu dem Zeitpunkt heftig gearbeitet hat.

hellas
mal ne andere frage. wo sehe ich denn solche angriffe. gibt es da einen monitor. oder ist das aus einer log. weil ich haette auch gerne so ein programm, welches mir anzeigt was da osi technisch gerate abgeht. :P

danke

naja... irgendwo muss das logfile doch hin! :)



der typ ist sogar noch online


kann auch der nächste user sein, der seine ip geerbt hat.

ich hab solche Zugriffe meist in meinem Apache-Log.
man könnte ja n script baun das das log abhört, wartet bis so einer versucht son zugriff zu machen, und dann ne ganze ladung "net send's" an den betreffenden schickt. oder halt tcp-Nuke *g*

Sagt dir nicht netstat die aktuell offenen Verbindungen an?

AD!

so jetzt hab ich noch eine "Telefon.bat" mit dem inhalt



regsvr32 /u %windir%\system32\regwizc.dll


gefunden

ich glaub die festplatte hat gerackert weil sie völlig durchleuchtet wurde und eine .txt erzeugt wurde mit dem einer vollständigen inhaltsangabe der platte.
dann erst sieht de angreifer ob es sich lohnt an deinem rechner weiter zumachen und wenn genug platz frei ist und du eine einigermaßen schnelle leitung hast dann bekommst du per TFTP ne serv-u auf den rechner.
damit dann irgendjemand deine platte und deine leitung als tauschbörse für moviez und software nutzen kann.
so ist es meißtens....

nett

ääh soweit ich weiss, gibts keine cmd.exe unter linux... ;)
das sind einfach irgendwelche bots die nach schwachstellen in iis-servern suchen, sonst nix.

sowas dürft sich in der /var/log/apache finden ;)

über sowas regt ihr euch auf ????

Das sind wirklich Commands die CodeRed oder irgentwelche Cracking tools für Windows ISS.

Naja, das is doch normal.
Und das da deine Platte gerödelt hat, das war was anderes. Cronjob, locate ... usw.... kann viel sein ;)

Also, keine Sorge ;)

Gruß Temp

Original geschrieben von Thomas Engelke
Schnell einen "net send <ip> You have been caught hacking ..."AD!

und welches prog ist dafür geeignet? nettalk?

greetZ

smbclient -M <ip>

glaube ich wars

hatte ich als ich noch auf port 80 gelogged hab dauernd solche einträge, das sind meist irgendwelche uralten skript kiddie programme, die sicherheitslücken ausnutzen die es seit 10 jahren nicht mehr gibt :D

außerdem ist ein cracker was anderes, siehe auch hier:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=126340&highlight=crackers

Original geschrieben von -Sensemann-
Weil die Festplatte zu dem Zeitpunkt heftig gearbeitet hat.

was das denn auf einem windows-rechner? ich blick da jetzt nicht ganz durch.
"regsvr32 /u %windir%\system32\regwizc.dll" registriert übrigens einen treiber, er wird allen progammen bekannt gemacht und zur verfügung gestellt.
ich würde auf das erstellungsdatum dieser telefon.bat gucken und dann nach dateien suchen, die zur gleichen zeit erstellt wurden.

Original geschrieben von psy
ääh soweit ich weiss, gibts keine cmd.exe unter linux... ;)
das sind einfach irgendwelche bots die nach schwachstellen in iis-servern suchen, sonst nix. Genau so ist es. Der Nimda-Wurm. Siehe: DFN-CERT: Sicherheitsbulletin Nimda Wurm (http://www.dfn-cert.de/infoserv/dsb/dsb-2001-01.html)

Ein Cracker ist das hier:
http://www.aefsupply.com/cracker.jpg

Wenn was auf der Platte roedelt, muss das aber nicht unbedingt locate oder
ein cron-Job sein. Es kann auch ein chown ftp_user.users / -R sein (wie mir
vor 3 Tagen passiert :( )
Die Daten sind zum Glueck alle noch drauf und das System neu aufgesetzt.
Das war doch endlich mal ein triftiger Grund, sich mit iptables auseinander-
zusetzen (und das naechste mal die Server-Configs richtig zu machen :p).

'cuda

Aber bekommt ftp nicht sowieso eine chroot-Umgebung?

Original geschrieben von Blackhawk
Aber bekommt ftp nicht sowieso eine chroot-Umgebung?
Tjaaaaa....

'cuda

Original geschrieben von Thomas Engelke
Schnell einen "net send <ip> You have been caught hacking ..." und er macht sich in die Hosen. ...

Kann man so tatsächlich von Linux aus eine Nachricht an eine Windows-Kiste schicken?
Das wäre für mich sehr interessant, um im LAN kurz mal ne Nachricht loszuwerden.
Ich finde aber nichts zu net send...

C.

Original geschrieben von ChandlerBing
Kann man so tatsächlich von Linux aus eine Nachricht an eine Windows-Kiste schicken?
Das wäre für mich sehr interessant, um im LAN kurz mal ne Nachricht loszuwerden.
Ich finde aber nichts zu net send...

C.

Thread lesen!

Original geschrieben von darkmoon.2xt.de
smbclient -M <ip>

glaube ich wars

'cuda

Original geschrieben von HEMIcuda
Thread lesen!


'cuda


SIR, JAWOHL, SIR!

Gut so! Weitermachen! :p

'cuda

217.216.202.60 - - [09/Mar/2004:16:46:00 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 277 "-" "-"
217.216.202.60 - - [09/Mar/2004:16:46:02 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 275 "-" "-"
217.216.202.60 - - [09/Mar/2004:16:46:07 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 285 "-" "-"
217.216.202.60 - - [09/Mar/2004:16:46:10 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 285 "-" "-"
217.216.202.60 - - [09/Mar/2004:16:46:13 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 2
217.216.202.60 - - [09/Mar/2004:16:46:14 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/
217.216.202.60 - - [09/Mar/2004:16:46:16 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/
217.216.202.60 - - [09/Mar/2004:16:46:24 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1
217.216.202.60 - - [09/Mar/2004:16:46:26 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404
217.216.202.60 - - [09/Mar/2004:16:46:29 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404
217.216.202.60 - - [09/Mar/2004:16:46:30 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404
217.216.202.60 - - [09/Mar/2004:16:46:31 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404
217.216.202.60 - - [09/Mar/2004:16:46:36 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400

der hatte langeweile es ging danach noch weiter.....

Hallo,

einfach ein

whois <ip>
machen und dort die "abuse"-Emailadresse für diesen IP-Bereich herausfinden.
Dann einfach dein access.log an diese Emailadresse schicken.

Die werden sich um diesen einen schon kümmern. Lieder gibt es noch viele andere
dumme dieser Art. Nun ja.

Grüße
Christoph

Hi!

Ich kann an dieser Stelle nur Mod-Security (http://www.modsecurity.org/) für den Apache empfehlen. Damit kann man Client Anfragen nach Belieben filtern.

Happy filtering ;-)

Gruss

Jochen

Mir wäre lieber wenn es eine realtime log gäbe das so wie Gkrellm ausgibt wer zugreift und auf welche weise.

ps:

wie fake ich ein Win2k /NT / XP verzeichnis ?

Mir wäre lieber wenn es eine realtime log gäbe das so wie Gkrellm ausgibt wer zugreift und auf welche weise.


Du kannst dir mit root-tail (http://freshmeat.net/redir/root-tail/9082/url_homepage/root-tail.html), Logfiles auf dem X root window anzeigen lassen.
Nur so aus reinem Interesse, warum willst du Probleme nur überwachen die sich verhindern lassen? Mod-Security kann auch Loggen und dann die Anfrage des Clients blockieren.



ps:

wie fake ich ein Win2k /NT / XP verzeichnis ?


Ich glaube nicht, dass sich das täuschungsecht durchsetzten lässt, da es Nmap, httprint (http://net-square.com/httprint/) und netcraft.com gibt. Vielleicht lässt sich sowas mit einer Weiterleitung auf Honeyd mit IIS-Emulation machen, aber ich denke das ist auch zu leicht zu durchschauen.

Gruss

Jochen

Naja das blockieren ist Stufe 1

Stufe 2 ist das Kontrrollieren in realtime. weil der server läuft nur dann wenn jemand den neuesten entwurf seiner hp sehen will.