hi to all

in meiner apache error_log stehen versuche einen win-server zu knacken, glaub ich jedenfalls

[client 169.237.59.81] Client sent malformed Host header
[Thu Jun 13 18:34:27 2002] [error] [client 192.67.198.230] File does not exist: /usr/local/httpd/htdocs/robots.txt
[Thu Jun 13 18:41:25 2002] [error] [client 217.219.67.3] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe
[Thu Jun 13 18:41:28 2002] [error] [client 217.219.67.3] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe
[Thu Jun 13 18:41:32 2002] [error] [client 217.219.67.3] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe
[Thu Jun 13 18:41:36 2002] [error] [client 217.219.67.3] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.exe
[Thu Jun 13 20:09:52 2002] [error] [client 164.77.191.214] Client sent malformed Host header
[Thu Jun 13 21:54:59 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe
[Thu Jun 13 21:55:03 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe
[Thu Jun 13 21:55:03 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe
[Thu Jun 13 21:55:04 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.exe
[Thu Jun 13 21:55:07 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Thu Jun 13 21:55:08 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Thu Jun 13 21:55:11 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Thu Jun 13 21:55:13 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/msadc/..%5c../..%5c../..%5c/..Á^\../..Á^\../..Á^\../winnt/system32/cmd.exe
[Thu Jun 13 21:55:17 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/scripts/..Á^\../winnt/system32/cmd.exe
[Thu Jun 13 21:55:17 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/scripts/..À¯../winnt/system32/cmd.exe[Thu Jun 13 21:55:18 2002] [error] [client 217.208.231.171] File does not exist: /usr/local/httpd/htdocs/scripts/..Á~\../winnt/system32/cmd.exe

usw usw

hoffe es kann mir jemand was dazu sagen, ob ich jetzt befürchten muss das dieser mensch mein codewort für dsl rausbekomt oder ähnliches

danke für ne antwort

greetz rabenkind :)

Hast du Code Red und Nimda verpennt?

hi

würmer für windoof geht wohl schlecht habe keine windoof-rechner im netzwerk, und das die mich zu unregelmäßigen zeiten und über jetzt drei wochen angreifen hmmm

ausserdem müsste dann doch der gegenüber einen offenen port haben, der ist aber voll stealth.

aber ich habe keine ahnung von angriffen, wie die ausgeführt werden, habe nur im inet gelesen das diese art von angriffen für script-kiddies typisch ist. mit eben der befehlsfolge.

hoffe das noch jemand das schonmal gesehen hat und was dazu weiss oder meint es macht sinn wenn ich es den telekom typen mitteile, der/die "täterIn" kommt ja über eine dynip von denen.

greetz rabenkind :)

Natürlich können das Würmer für Windoof sein!
Der 'Angreifer' weiss anscheinend nicht, dass du einen Apache laufen hast und schickt eben mal seine Standartanfragen auf dich los.
Der/Die 'Angreifer' wird/werden irgendein/irgendwelche vergessener/vergessenen Recher sein, auf welchem/welchen der Wurm rumgeistert und ab und an auch eine Anfrage auf deine IP schickt/schicken.

Also kein Grund zur Sorge (zumal du sowieso einen sicheren Webserver verwendest).

Dass dein Gegenüber STEALTH ist könnte z.B. daran liegen, dass er einen Packetfilter verwendet, welcher connection tracking unterstützt.


Grüsse, Thomas.

Hi,

aber du solltest auch aufpassen und deinen apache auf jeden fall updaten. Denn jetzt ist freebsd draußen, ein wurm für apache auf unix. hier der link dazu:

http://securityresponse.symantec.com/avcenter/venc/data/freebsd.scalper.worm.html

Joey

wenn du ne statistik erstellen willst....

WorMeter (http://www.kryptolus.com/WorMeter.txt)


:D

Matze

hi to all

ist wohl doch ein idiot der hier einbrechen will. heute abend wurden eine viertel stunde fleißig ports gescannt. natürlich ohne ergebniss, die sind nämlich dicht.
trotzdem habe ich langsam die nase voll, deswegen frage macht die telekom was wenn man sowas meldet, hat schon mal jemand erfahrung damit gemacht. :confused:

ansonsten werd ich mich wohl mal schlau machen wie man sich wehrt. ich betrachte das nämlich als einen angriff auf meine privatspähre. :(

wenn jemand mir sagen kann ob es sich lohnt mit den logs zu den herren in grün zu gehen bitte um mitteilung.

greetz rabenkind :)

ps ich denke sonst werde ich diesem menschen mal auf die ports fühlen :D

würmer für windoof geht wohl schlecht habe keine windoof-rechner im netzwerk, und das die mich zu unregelmäßigen zeiten und über jetzt drei wochen angreifen hmmmDu weisst anscheinend leider nicht, wie Würmer arbeiten.


ausserdem müsste dann doch der gegenüber einen offenen port haben, der ist aber voll stealth.So wirklich ganz voll Stealth? Noch so ein Penner der Dienste anbietet und evtl. notwendige Pakete filtert.


aber ich habe keine ahnung von angriffen, wie die ausgeführt werden, habe nur im inet gelesen das diese art von angriffen für script-kiddies typisch ist. mit eben der befehlsfolge.Bescheidene Frage: wer verbreitet solch einen Müll (andererseits, wenn man die Wurmentwickler mit dazuzählt haben die sogar recht :)


hoffe das noch jemand das schonmal gesehen hat und was dazu weiss oder meint es macht sinn wenn ich es den telekom typen mitteile, der/die "täterIn" kommt ja über eine dynip von denen.
Nein. Ich behaupte die abuse Stelle hat genug zu tun. Und du wirst die Adresse bestimmt nicht bekommen (Datenschutz).


ist wohl doch ein idiot der hier einbrechen will. heute abend wurden eine viertel stunde fleißig ports gescannt. natürlich ohne ergebniss, die sind nämlich dicht. Nicht jeder Portscan ist ein Angriff. Genauso wenig wie jeder der an deiner Tür klingelt ein Einbrecher ist. Portscans sind in Deutschland legal! (und das ist gut so). Wahrscheinlich bist du sogar selbst schuld, dass der Scan vorgang so lange dauerte. Wenn man nämlich so voll krass stealth ist, dann ...

ansonsten werd ich mich wohl mal schlau machen wie man sich wehrt. ich betrachte das nämlich als einen angriff auf meine privatspähre.Das du dir da mal nicht ins Knie schießt.

wenn jemand mir sagen kann ob es sich lohnt mit den logs zu den herren in grün zu gehen bitte um mitteilung.
Als ob die nichts besseres zu tun hätten als auf Nimda jagt zu gehen.

ps ich denke sonst werde ich diesem menschen mal auf die ports fühlenDu das, wenn du lustig bist. Wenn der andere aber die gleich Mentalität hat wie du und dazu evtl. noch unschludigerweise von dir "Angegriffen" wird, was dann?


@TThomas
Connection Tracking hat damit nichts zu tun. Ist eigentlich eher ein icmp-filtern.

Hi,

lass ihn doch scannen, das tut dir doch nicht weh. Kannst gleich lernen ob dein System sicher ist, wenn es sicher ist ok, wenn nicht, weißt du was du zu tun hast

joey

hi to all

@Jinto
quote:<br>
Du weisst anscheinend leider nicht, wie Würmer arbeiten. <br>
ne weiss ich nicht, wozu auch. ich bin user der eine seite im netz gehostet hat und ansonsten nur surft.
<br>
quote:<br>
Nicht jeder Portscan ist ein Angriff. Genauso wenig wie jeder der an deiner Tür klingelt ein Einbrecher ist. <br>
ne aber leute die an meiner tür klingeln sehe ich mit denen kann ich reden und so einschätzen, einen scan kann ich nicht einschätzen iund auch nicht mit diesem vorgang reden. werde mich mal schlau machen ob portscans legal sind. denn menschen mit klingelmännchen zu belästigen ist auch nicht legal, wenn kinder das machen ok hab ich selber früher auch gemacht, aber ansonsten!<br>
@joey

hm hast wohl recht.
<br>
<br>
aber nichts desto trotz werde ich reagieren, lasse mir aber noch zeit zu überlegen wie. ich habe nämlich viel geduld und das ganze noch ne weile zu beobachten macht in meinen augen sinn.

greetz rabenkind :) :D

Das sind keine Angriffe, das sind Würmer oder automatische Scanner von irgendwelchen Script Kiddies. Das sowas mehrmals täglich in den Logs auftaucht ist ganz normal. Also reg dich nicht auf, ignorier es einfach. Solang du deinen Server auf dem neuesten Stand hälst, kann dir das ganz egal sein. Und geh damit bloss nicht zur Telekom oder sonstwohin, die lachen dich nur aus.

Also nochmals:
Ein Portscan ist einfach eine (höfliche) Frage, ob auf diesem Rechner mit Port x ein Dienst angeboten wird. Wenn ja gut, wenn nein auch gut.
So ala Bäckerei: habe sie Brötchen? und Brezeln? :D
Darauf gibts dann mehrere Möglichkeiten:
1. Die Antworten lautet (Ja oder Nein) => Derjenige geht wieder.
2. Der/die unfreundliche Verkäufer(in) sagt nichts (daraufhin wird die Frage solange wiederholt bis derjenige die Schnauzte voll hat und geht.

Da das Internet keine Einbahnstraße ist, ist jeder zugleich potenzieller Anbieter und Nachfrager.

Im Internet glauben immer mehr mit der unfreundlichen Antwort (nämlich keiner Antwort) weiter zu kommen (und produzieren damit mehr Traffic als wenn die Antwort wäre: ich habe hier nichts von Interesse für dich).

HTH

hi to all

Im internet sowie allgemein in jeglichen netzwerken gibt es folgende definierte ports für dienste (ausschnitt 25, 53, 80, 110 usw.) wenn jemand sich die auslage dieser dienste ansehen möchte braucht er sie nur mit einem entsprechenden proggi ansprechen. dazu ist definitiv kein portscan notwendig.

ausserdem, wenn ich aus welchen gründen auch immer meine dienste nur einem bestimmten kreis von menschen zugänglich machen möchte, werde ich natürlich geeignete massnahmen dazu ergreifen. dieses recht hat jeder mensch, egal wie andere darüber denken.

in zeiten wo jedeR versucht sich als toller cracker darzustellen, ein phänomen das bei einer bestimmten altersgruppe häufig vorkommt, ist vorsicht angebracht. mehr oder weniger täglich kann mensch auf securityseiten nachlesen welcher server gerade mal wieder von irgendwelchen komischen menschen geknackt worden ist und das die zahl der versuchten angriffe auf server und enduser täglich steigt.

<hr>@Jinto
wenn du mir da erzählen willst das ein portscan harmlos (höflich)ist :confused: :confused: :confused:
<hr>
selbst organisationen wie die denic benutzen bei ihren ermittlungen zur verfügbarkeit "icmp" und verzichten auf portscan oder andere methoden, die als angriff aufgefasst werden könnten.

als ich vor 20 jahren mit der computerei anfing, wären deine worte ok gewesen, es gab noch einen "ehrenkodex" aber jetzt?

wenn ich mir die "auslage" eines rechners ansehen möchte benutze ich dazu einen browser oder newsprog oder oder, aber dazu muss ich keinen auf schwachstellen in seiner firewall abklopfen.

<hr>Im Internet glauben immer mehr mit der unfreundlichen Antwort (nämlich keiner Antwort) weiter zu kommen (und produzieren damit mehr Traffic als wenn die Antwort wäre: ich habe hier nichts von Interesse für dich).
<hr>

höflichkeit gebietet auch den respekt vor anders denkenden menschen und somit der aussage: zutritt nur für mitglieder. denn wenn ich mit berufskollegInnen über soziologie rede, brauche ich keine kommentare von unqualifizierten menschen (dies ist nicht als abwertung gemeint, es stört einfach).

ich denke jedeR hat das recht sich und die eigene privatsphäre abzugrenzen und vor überneugierigen zu schützen.

es geht nicht alle alles an.

ein schönes wochenende und viele talkshows

greetz rabenkind :))

@Rabenkind

Im Internet sowie allgemein in jeglichen Netzwerkengibt es folgende definierte ports für dienste und dann noch 20, 21, 1214, 4661, 4662, ... Wie du siehst wird die Liste nicht kürzer.


... mehr oder weniger täglich kann mensch auf securityseiten nachlesen welcher server gerade malwieder von irgendwelchen komischen menschen geknackt worden ist und das die zahl der versuchten angriffe auf server und enduser täglich steigt Allerdings kann nur Angegriffen werden, wenn auch tatsächlich etwas angeboten wird. Wenn keine Dienste laufen bzw. korrekt konfiguriert sind besteht auch keine Notwendigkeit sich zu "fürchten". Man sollte sich auch vor Augen führen, dass man i.d.R. mit einer dynamischen IP unterwegs ist, die zuvor ein anderer in Beschlag hatte. Das kann dann auch mal schnell in einem Portscan des falschen Rechners enden(z. B. Zwangstrennung des Vorbesitzers).


ausserdem wenn ich aus welchen gründen auch immer meine dienste nur einem bestimmten kreis menschen zugänglich machen möchte werde ich natürlich geeignete masnahmen dazu ergreifen. dies recht hat jeder mensch egal wie andere darüber denken. Solang du damit andere nicht schädigst gibt es von meiner Seite keine Widersprüche (z. B. sind Kennwort Abfragen solche Maßnahmen)

Ja ich bin der Ansicht, dass ein Portscan harmlos ist (dieses Bekenntnis schockiert dich hoffentlich nicht zu sehr :)). Zudem prüft ein Portscanner keine Schwachstellen ab.

Höflichkeit gebietet auch den respekt vor anders denkenden menschen und somit der aussage: zutritt nur für mitglieder. Ja. Aber dann bekommt man ja wenigstens eine Antwort (Zutritt nur für Mitglieder). Genau diese Antwort könntest du dem Portscanner ja auch liefern (damit würde der Scan auch schneller beendet sein, sich totstellen ist zudem wirkungslos).
Dazu muss ich auch nochmals den von dir zitierten Satz aufgreifen. Ein Beispiel dafür, dass solch ein totstellen nicht nur mehr Traffic produziert, sondern auch noch den eigenen (Dienste) Nutzern schadet ist GMX. Einige der Probleme mit GMX+DSL ließen sich auf dieses schlecht durchdachte (totstellen) "Sicherheitskonzept" zurückführen.


ich denke jedeR hat das recht sich und die eigene privatsphäre abzugrenzen und vor überneugierigen zu schützen. Ja, aber warum auf die schlechtest mögliche Art und Weise?

Ein erholsames Wochenende und viele viele Spielfilme :D

@ Jinto:

Weshalb sollte connection tracking keine Möglichkeit sein, um nach aussen hin STEALTH zu sein?

Und: Wie hängt das Filtern von ICMP mit dem STEALTH-Modus zusammen? (Mal abgesehen davon, dass man dann "ICMP-Stealth" ist.)


Thomas.

Original geschrieben von Jinto
@Rabenkind
und dann noch 20, 21, 1214, 4661, 4662, ... Wie du siehst wird die Liste nicht kürzer.


Neulich hatte jemand hier diese Liste gepostet, sehr informativ: http://www.trojaner-info.de/port.shtml




Man sollte sich auch vor Augen führen, dass man i.d.R. mit einer dynamischen IP unterwegs ist, die zuvor ein anderer in Beschlag hatte. Das kann dann auch mal schnell in einem Portscan des falschen Rechners enden(z. B. Zwangstrennung des Vorbesitzers).
:D
Ich hab mich auch erschrocken, als die ersten Tauschbörsen mal bei mir anklopften, nur weil derjenige der die IP vor mir hatte, sich dafür zur Verfügung stellte.

Um noch mal auf Rabenkind´s ursprünglichen Beitrag zurückzukommen: bei dem Apache-Log handelt es sich tatsächlich um Nimda. Und der weiss halt nicht, was er für einen Webserver angreift. Habe eine Domain bei einem Hoster, der M$- Server hat, da steht sowas ständig im Logfile, aber eben auch bei meinem Apachen im Büro.

cu
CE

@TThomas
Connection Tracking merkt sich bestehende Verbindungen, allerdings kommt ja gar keine Verbindung zu stande, da das Syn-Paket bereits mittels DROP verworfen wurde. Aus diesem Grund findet auch kein Eintrag in der Connection-Tabelle statt.

Die korrekte Ablehnung auf den Versuch eines Verbindungsaufbaus wäre ein tcp-reset. AFAIK antworten manche OS mit einem port-unreachable (zwar eigentlich nicht Standard, aber egal). Insofern ist icmp-Filtern meinerseits auch nicht ganz korrekt gewesen :D

Nehmen wir mal an, ich erlaube alle von mir erstellten Connections:


IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED

Alle anderen Packete sollen verworfen werden:


IPTABLES -A INPUT -j DROP


Erscheine ich nun nach aussen hin STEALTH?
Habe ich dazu connection tracking verwendet?



Toleranz ist der Verdacht, dass der andere recht haben könnte.

1. hmmm stealth. Das mit dem Stealth liegt mir schwer im Magen.
Sagen wir, ich bekomme von dir keine Pakete, wenn die vVerbindung nicht von dir initiiert wurde. OK?
2. IMHO: Nein.
Wenn du meine Beschreibung nochmals durchliest, wirst du feststellen, dass dein Script meiner Beschreibung entspricht.

Toleranz ist der Verdacht, dass der andere recht haben könnte. :D

Für mich ist ein Port/Rechner dann STEALTH, wenn ich von einem anderen Rechner aus nicht unterscheiden kann, ob ein Dienst läuft oder nicht bzw. der Rechner ein- oder ausgeschaltet ist.
Natürlich gilt das nur, wenn der 'Stealth-Rechner' stillhält...

Wenn ich also stillhalte und Packete empfange, welche ich nicht angefordert habe, was ich mittels connection tracking überprüfen kann, dann verwerfe ich sie einfach. Mein Gegenüber kann dann eben nicht unterscheiden, ob ich da bin oder nicht.


IMHO kann ich mich also mittels connection tracking in den STEALTH-Modus versetzten.



Aber lassen wir das, tolerieren wir die Meinung des anderen und leben glücklich bis an das Ende unserer Tage. ;) http://www.smiley-smilies.de/flowerface.gif


Grüße, Thomas.

Ok, nachdem wir nun unsere Ansichten über connection Tracking ausgetauscht habe. Noch einige Gedanken zum stealth:
Sollte eine IP nicht belegt sein, sendet der letzte Router vor dieser IP dem Anfragenden Host ein destination-unreachable Paket (ich hoffe das ich diesmal auf Anhieb das richtige Paket gewählt habe, da ich wiedermal zu faul bin zum Nachblättern). Bleibt dieses Paket aus ist auf jeden Fall ein Computer unter dieser IP verfügbar. Hoffe du siehst wie stealth du wirklich bist (Stealth ist ein Markteingbegriff, ohne technischen halt).

Evtl. wären die FAQs der dcsf und dcsm für dich interessant.

PS: Werde mich in Zukunft mit Aussprüchen wie Layer3-Switches wieder zurückhalten, nachdem ich hier über einen Marketingbegriff abgelästert habe.

Gruß