PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : nervige scriptkiddies



schiffler
07.08.02, 11:59
ist es bei euch auch normal das midestens 2 bis 3 mal pro Stunde irgendwelche script kiddies versuchen den server zu hacken? was kann man dagegen tun?
kann ich dem apache sagen, das er eine IP nicht zulässt, sobald von dieser eine bestimmte anfrage gekommen ist? z.B. wenn eine anfrage cmd.exe enthält?
hier mal auszug aus den logfiles:

217.225.105.232 - - [07/Aug/2002:11:07:49 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:07:53 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:07:58 +0000] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:03 +0000] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:08 +0000] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:13 +0000] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:16 +0000] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:20 +0000] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 345 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:25 +0000] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:30 +0000] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:34 +0000] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:37 +0000] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:39 +0000] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:43 +0000] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:46 +0000] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312 "-" "-"
217.225.105.232 - - [07/Aug/2002:11:08:52 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312 "-" "-"

Zaphod-B
07.08.02, 12:03
Moin,
das sind keine Script Kiddies, das ist immer noch Code Red, Nimda und Co.
Also normaler Traffic, darüber brauchst du dir keine Sorgen zu machen.



Greetings Zaphod-B

-leliel-
07.08.02, 12:59
btw. wenn du script kiddies los haben willst, blocke einfach icmp pakete mit der firewall, dann koennen sie nicht pingen/scannen ... :)

so long

Bauchi
07.08.02, 13:29
Was hat das mit ICMP zu tun .. wenn ich nen Portscan mache, dann auf die TCP/UDP ports.... da brauch ich kein icmp für ... wo haste denn die halbwahrheit her ... :rolleyes: :rolleyes:

Jasper
07.08.02, 13:31
Original geschrieben von -lcf-
btw. wenn du script kiddies los haben willst, blocke einfach icmp pakete mit der firewall, dann koennen sie nicht pingen/scannen ... :)


toll, wenn das alle machen, können wir icmp komplett abschaffen. ist ja auch nicht wichtig, ist ja nur zur diagnose nützlich, also weg damit.

-j

phoen][x
07.08.02, 13:32
Btw mit snort kannst du sowas machen. Also ich rede von dem ip blocken bei anfragen nach cmd.exe und sowas.

-phoen][x-

bom
07.08.02, 13:36
@Jasper

Wenn Du Deine Firewall richtig konfigurierst, kannst Du ja z.B. icmp echo reply erlauben, jedoch alle anderen icmp protos blocken.
Da hast Du dann die Diagnosemöglichkeit und mehr security.

ChengFU
07.08.02, 13:42
Zusätzlich zu phoen][x:

Am schönsten ist der Snort in Kombination mit einem Firewallskript wie z.B. Guardian - nur die eigene Dial-IP sollte man da ausschliessen, sonst sperrt man sich schonmal selbst aus dem Server aus :-)

-leliel-
07.08.02, 14:41
Original geschrieben von Jasper


toll, wenn das alle machen, können wir icmp komplett abschaffen. ist ja auch nicht wichtig, ist ja nur zur diagnose nützlich, also weg damit.

-j

na und? im LAN kannst du ICMP immernoch verwenden. und wer sollte mich uebers internet diagnostizieren wollen??? :D

ich sehe zumindest keinen sinn darin, und blocke es desshalb.

Jasper
08.08.02, 21:01
Original geschrieben von -lcf-


na und? im LAN kannst du ICMP immernoch verwenden. und wer sollte mich uebers internet diagnostizieren wollen??? :D

ich sehe zumindest keinen sinn darin, und blocke es desshalb.

ok, diagnostizieren ist nur ein teil. lt. RFC ist ein icmp-dest-unreach zurückzugeben, wenn das ziel (host/port/etc) nicht erreichbar ist. macht ja auch sinn, so werden unnötige retransmissions vermieden. oder source-quench oder time-exceeded. es sind nicht alle icmp-types notwendig, aber die elementaren sollte man schon richtig anwenden. dazu zählen:

DEST_UNREACH (HOST,PORT)
SOURCE_QUENCH
TIME_EXCEEDED
PARAMETERPROB
FRAG_NEEDED
HOST_UNKNOWN

liste erhebt keinen anspruch auf vollständigkeit.

sieh mal in RFC792 nach, wofür die einzelnen typen verwendet werden falls du es nicht bereits weisst. du wirst feststellen, dass icmp für ein netzwerk recht nützlich ist (auch für dich).

-j

-leliel-
09.08.02, 10:03
hm, ok. ich schau mal nach ... man lernt nie aus ... :rolleyes:

Sandal
09.08.02, 13:36
So Leute, die von ICMP keine Ahnung haben, gibt es ja im Internet genug (z.B. kinopolis.de). Darum dürfen die "armen" DSL Nutzer ja so kryptische (:)) Befehle in ihre Firewall schreiben, um das wieder auszubügeln...

Sandal

Jasper
09.08.02, 14:06
Original geschrieben von Sandal
So Leute, die von ICMP keine Ahnung haben, gibt es ja im Internet genug (z.B. kinopolis.de). Darum dürfen die "armen" DSL Nutzer ja so kryptische (:)) Befehle in ihre Firewall schreiben, um das wieder auszubügeln...


erklär mal genauer.

-j

Jinto
09.08.02, 20:11
@Jasper
Wenn du wissen willst was (warum) passiert wenn Vollid*§$% wahllos icmp Filtern: http://sdb.suse.de/de/sdb/html/cg_pmtu2.html

explosiver
09.08.02, 20:56
hallo linuxers

tolles interssantes thema habt ihr, habe alles ausgedruckt um zu lernen.

nun habe ich eine frage, ich habe ein buch matthias hein, michael reisner

tcp/ip

ge-packt

ganz billig

doch es enthält nur infos zu prozokollen

nun suche ich ein gutes buch um die protoikolle und das programmieren dazu
zu lernen.

wer kann mir ein gutes buch empfehlen dass er selber benutzt hat um zu lernen und damit
es geschafft hat ?

wäre sehr dankbar, denn lesen ist mein hoyy auch noch dazu (nat. nur pc) :-)

tucer
09.08.02, 21:23
ihr werdet woll noch ein paar nimda scans aushalten und jetzt so eine Staatsaffäre trauss machen ;)

mfg manuel