moin moin

mein firewall-script ist so aufgebaut, das nur ins inet darf, was auch explizit freigegeben wurde. alle sonstigen verbindungsversuche werden geblockt.

jetzt bin ich eben mal meine log's durchgegangen. dabei sind mir folgende einträge aufgefallen.

Feb 18 19:12:38 [kernel] Not Permitted Connection IN=eth0 OUT=ppp0 SRC=192.168.99.2 DST=64.39.45.136 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=25397 DF PROTO=TCP SPT=42387 DPT=90 WINDOW=5840 RES=0x00 SYN URGP=0

also ein verbindungsaufbau zur ip 64.39.45.136 an den port 90. wenn ich die ip(ohne portangabe) in den konqui eingebe, lande ich auf folgender website => http://www.webcounter.goweb.de/

in der cookieliste vom konqueror findet sich diese ip allerdings nicht.

hat jemand eine ahnung, wie ich dem *verursacher* dieses verbindungsaufbaus auf die schliche kommen kann?



Gruß HL

Hallo hangloose,

daß ein Cookie selber eine Verbindung aufbauen kann, glaube ich nicht. Cookies werden in einer nicht-ausführbaren Textdatei gespeichert.

Port 90 dient laut Internet Storm Center (http://isc.incidents.org) für den Dienst "DNSIX Securit Attribute Token Map".

Vielleicht hast du ja ein Programm laufen, das auf diesem Port läuft.

Viele Grüße,
CEROG

1) Cookies können von sich asu keine Verbindung aufbauen.
2) Wenn du nichtmehr weisst auf welcher Webseite du zu diesem Zeitpunkt warst, hast du schlechte Karten den "Verursacher" zu finden.

Annahme:
Da auf dieser IP ein Webcounter befindet, tippe ich irgendein Webseiten ersteller hat einen Link auf diese Seite um die Anzahl der Seitenabrufe zu ermitteln.

Hi CEROG

hast wohl recht ein cookie ist wohl auszuschließen.

ich hab auch mal ein wenig gegoogelt. auf port 90 läuft ausserdem Pointcast => http://cctcc.projects.unisg.ch/diss_amu/technik/PRBS_PointCast_01.html

hab jetzt mal ngrep angeworfen und lass das ganze mal in eine datei loggen. mal sehen ob ich da fündig werde.

was mich nur stutzig macht, ist die webseite die sich unter der ip auf port 80 verbirgt. das ganze sieht doch sehr nach *marketing-forschung* aus und mich würde schon interessieren was dort für daten übermittelt werden.

@Jinto


2) Wenn du nichtmehr weisst auf welcher Webseite du zu diesem Zeitpunkt warst, hast du schlechte Karten den "Verursacher" zu finden.

das weiß ich in der tat nicht mehr :)


Annahme: Da auf dieser IP ein Webcounter befindet, tippe ich irgendein Webseiten ersteller hat einen Link auf diese Seite um die Anzahl der Seitenabrufe zu ermitteln.

das klingt plausibel.


ich werde das ganze mal weiterverfolgen. thx euch beiden :)



Gruß HL

www.trojaner-board.de arbeitet zB. mit solchem Webcounter.
Ist im Prinzip nichts Schlimmes, da bis 1024 well-known ports sind,
dh. weltweit genormter Inhalt/Auftragscommands der Gegenseite.

@LX-Ben

das wäre ne erklärung. ich bin zwar gestern nicht auf dieser speziellen seite gewesen. aber ich meine mich zu erinnern, das da gestern auch so'n pop up von einer dieser möchtegern hackerseiten bei war.


Gruß HL

Die Eingangsfrage war "Können Cookies senden?" und die korrektet Antwort
war NEIN. Aber es gibt etwas viel Tückischeres - die Webbugs, und die
können senden!! Nachstehend ein kurzer Sachauszug und Info-Links. So
richtig hat sich noch kein Security-Tool dieser Bedrohung der Privatsphäre
angenommen.


Web Bugs sind winzige GIFs mit einer Größe von normalerweise 1x1 Pixel,
die auch in anderen Grafiken versteckt werden können. Nur wer sich den Source
Code einer Website ansieht, kann die Web Bugs als IMG-Tags erkennen.
Wegen dieser Eigenschaft werden sie auch eingesetzt, weil so die Benutzer
nicht bemerken, dass sie beobachtet werden.

Ein Web Bug sendet die IP-Adresse, die URL der besuchten Webseite, die URL
des Web Bug GIFs, den Zeitpunkt, an dem der Web Bug angeschaut wurde,
den Browsertyp sowie die Informationen eines zuvor gesetzten Cookies an
einen Server. Von Interesse sind Web Bugs weil sie zusätzliche Informationen
zu denjenigen übermitteln, die mit einem Cookie erfasst werden. Innerhalb eines
Werbenetzes, also von Werbungen auf unterschiedlichen Websites einer Online-
Agentur, können zusammen mit Cookies genauere statistische Informationen
über Benutzer erfasst werden...

http://www.google.de/search?q=web-bugs&ie=ISO-8859-1&hl=de&btnG=Google-Suche&meta=lr%3Dlang_de

moin moin

danke für die interessanten info's. davon hatte ich vorher noch nie was gehört.


Gruß HL

@LX-Ben

kennst du zufällig eine seite die sowas einsetzt? ich würde das gerne mal sniffen, eventuell läßt sich daraus ja eine snort rule basteln.


Gruß HL

Das tut fast jede (kommerzielle Seite). Du willst Beispiele:
www.heise.de www.pcmagazin.de, ...

Kannst du übrigens auch gut mit deinem Webbrowser nachverfolgen: aktivier einfach mal Cookies auf Nachfrage speichern

PS: Snort ist IMHO dafür gänzlich ungeeignet.

Hi Jinto


Kannst du übrigens auch gut mit deinem Webbrowser nachverfolgen: aktivier einfach mal Cookies auf Nachfrage speichern

wenn ich das richtig verstanden habe, sind webbugs nicht gleich cookies.



PS: Snort ist IMHO dafür gänzlich ungeeignet.

darf man fragen warum? ich hab mal ein wenig mit snort rumgespielt. jede website frag ja mittels User Agent den verwendeten browser ab. hier mal ein auszug aus einem gesnifftem paket.

GET /RealMedia/ads/adstream_lx.ads/www.heise.de/Homepage/1693650783/Middle/1x1-bei-he-zaehler-hp/zaehler.html HTTP/1.1\r\n

0000 00 50 bf dc 5f 6e 00 50 bf d9 ff 93 08 00 45 00 .P¿Ü_n.P ¿Ùÿ...E.
0010 01 f3 fa 35 40 00 40 06 c9 79 c0 a8 63 02 c1 63 .óú5@.@. ÉyÀ?c.Ác
0020 90 47 8c e1 00 50 17 b8 5a 62 2f e8 db 75 50 18 .G.á.P.? Zb/èÛuP.
0030 16 d0 1a d3 00 00 47 45 54 20 2f 52 65 61 6c 4d .Ð.Ó..GE T /RealM
0040 65 64 69 61 2f 61 64 73 2f 61 64 73 74 72 65 61 edia/ads /adstrea
0050 6d 5f 6c 78 2e 61 64 73 2f 77 77 77 2e 68 65 69 m_lx.ads /www.hei
0060 73 65 2e 64 65 2f 48 6f 6d 65 70 61 67 65 2f 31 se.de/Ho mepage/1
0070 36 39 33 36 35 30 37 38 33 2f 4d 69 64 64 6c 65 69365078 3/Middle
0080 2f 31 78 31 2d 62 65 69 2d 68 65 2d 7a 61 65 68 /1x1-bei -he-zaeh
0090 6c 65 72 2d 68 70 2f 7a 61 65 68 6c 65 72 2e 68 ler-hp/z aehler.h
00a0 74 6d 6c 20 48 54 54 50 2f 31 2e 31 0d 0a 43 6f tml HTTP /1.1..Co
00b0 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 nnection : Keep-A
00c0 6c 69 76 65 0d 0a 55 73 65 72 2d 41 67 65 6e 74 live..Us er-Agent
00d0 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 63 : Mozill a/5.0 (c
00e0 6f 6d 70 61 74 69 62 6c 65 3b 20 4b 6f 6e 71 75 ompatibl e; Konqu
00f0 65 72 6f 72 2f 33 2e 31 3b 20 4c 69 6e 75 78 29 eror/3.1 ; Linux)
0100 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 ..Pragma : no-cac
0110 68 65 0d 0a 43 61 63 68 65 2d 63 6f 6e 74 72 6f he..Cach e-contro
0120 6c 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 41 63 63 l: no-ca che..Acc
0130 65 70 74 3a 20 74 65 78 74 2f 2a 2c 20 69 6d 61 ept: tex t/*, ima
0140 67 65 2f 6a 70 65 67 2c 20 69 6d 61 67 65 2f 70 ge/jpeg, image/p
0150 6e 67 2c 20 69 6d 61 67 65 2f 2a 2c 20 2a 2f 2a ng, imag e/*, */*
0160 0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e ..Accept -Encodin
0170 67 3a 20 78 2d 67 7a 69 70 2c 20 78 2d 64 65 66 g: x-gzi p, x-def
0180 6c 61 74 65 2c 20 67 7a 69 70 2c 20 64 65 66 6c late, gz ip, defl
0190 61 74 65 2c 20 69 64 65 6e 74 69 74 79 0d 0a 41 ate, ide ntity..A
01a0 63 63 65 70 74 2d 43 68 61 72 73 65 74 3a 20 69 ccept-Ch arset: i
01b0 73 6f 2d 38 38 35 39 2d 31 35 2c 20 75 74 66 2d so-8859- 15, utf-
01c0 38 3b 71 3d 30 2e 35 2c 20 2a 3b 71 3d 30 2e 35 8;q=0.5, *;q=0.5
01d0 0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67 75 61 67 ..Accept -Languag
01e0 65 3a 20 65 6e 2c 20 64 65 0d 0a 48 6f 73 74 3a e: en, d e..Host:
01f0 20 77 77 77 2e 68 65 69 73 65 2e 64 65 0d 0a 0d www.hei se.de...
0200 0a .

das ganze mal in eine ganz primitive snort-rule verpackt

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"User Agent"; content:"User-Agent"; )

und snort schlägt sofort an.

GET /blank.gif HTTP/1.1..Connection: Keep-Alive..User-Agent:
Mozilla/5.0 (compatible; Konqueror/3.1; Linux)..Pragma:
no-cache..Cache-control: no-cache..Accept: text/*, image/jpeg,
image/png, image/*, */*..Accept-Encoding: x-gzip, x-deflate, gzip,
deflate, identity..Accept-Charset: iso-8859-15, utf-8;q=0.5,
*;q=0.5..Accept-Language: en, de..Host: heise.ivwbox.de....

ob das ganze allerdings sinn macht, wenn tatsächlich jede größere website diese webbugs einsetzt, steht auf einem anderen blatt.


ps: und ja ich habe momentan wieder einige heftige *paranoia schübe* :D


Gruß HL

wenn ich das richtig verstanden habe, sind webbugs nicht gleich cookies.
Tief Luft hol und Erklärungsversuch:
1. Hatte ich auch nicht behrauptet (das war leicht :-))
2.
Cookies dienen Unternehmen ala ivwbox zum "Usertracking", allerdings darf nur die aufgerufene Seite Cookies setzen. Zusätzlich darf nur die eigene Domäne dieses Cookie wieder verändern. Hier mal ein Code-Schnipsel aus der Heise Seite:

<img src="http://heise.ivwbox.de/cgi-bin/ivw/CP/homepage;/default.shtml?r=(none)" width="1" height="1">
Wie man darin sieht, legt ivwbox für jeden Kunden (in dem Fall Heise) eine Subdomain an, um festzustellen von welcher Seite die entsprechende Grafik abgerufen wurde => Auswertung. Allerdings handelt es sich hier nicht um eine Grafik, sondern wahrscheinlich um ein Programm (shtml), dass verschiedene Aktionen auf der Serverseite durchführt => DB Aktionen, Cookies u. ä.
ede website frag ja mittels User Agent den verwendeten browser ab. Nein, das macht der Browser freiwillig (siehe http-RFC). Er teilt damit mit wie er heisst, und was er kann. Du kannst ja im Konqueror einstellen wie er sich melden soll. Allerdings überprüfen manche Webseiten Entwickler die Browserkennung mit Javascript um einem danach mitzuteilen, sie waren nicht in der Lage standard konforme Webseiten zu erstellen und man solle doch den Browser verwenden der ihre Fehler am besten ausbügelt. :D

Irgendwo im Web habe ich mal eine Auflistung gesehen, auf wessen Seiten ivwbox überall vertreten ist. War vermutlich auf www.ivwbox.de. Doubleclick ist ein ähnliches Unternehmen.

SNORT würde ich zur Entdeckung von Einbruchsversuchen verwenden und nicht zum loggen von Webseitenaufrufe. Dafür ist squid wesentlich besser geeignet. Squid kann auch den Aufruf von bestimmten Webseiten mittels URL pattern matching verhindern (z. B. ivwbox.de). Manchmal schalte ich den Squid ein und wunder mich dann immer wieder warum ich Cookiemeldungen von ivwbox bekomme ;)

Anmerkung: Ganz Problemlos ist das Filtern von ivwbox allerdings nicht immer.

HTH

@Jinto


Tief Luft hol und Erklärungsversuch:

du hast es schon nicht leicht mit mir ;)


Hier mal ein Code-Schnipsel aus der Heise Seite:

dieser code ist mir auch aufgefallen und wenn man den in den konqueror hackt, wird einem eine leere seite angezeigt => gif-images 0*0 pixels. ein webbug also ??


Nein, das macht der Browser freiwillig (siehe http-RFC)

hm, muss ich mir mal genauer ansehen. aber hätte dann in dem gesnifftem paket nicht ein POST statt einem GET stehen müssen?


SNORT würde ich zur Entdeckung von Einbruchsversuchen verwenden und nicht zum loggen von Webseitenaufrufe

mir passt es nur nicht, das man mein *surfverhalten* mit diesen sch... webbugs ausspioniert. cookies kann ich ja abschalten. ich sollte mir wohl doch noch mal Jap oder wie das teil heißt ansehen.


Squid kann auch den Aufruf von bestimmten Webseiten mittels URL pattern matching verhindern

das kann snort mittels "block" übrigens auch, nur wäre es wohl sinnvoller, das ganze nicht auch noch loggen zu lassen.


Gruß HL

ein webbug also ?? Ja und zwar eins wie ich es beschrieben habe, da steckt ein Programm dahinter. Welches dir auch ein Cookie übermittelt.
das kann snort mittels "block" übrigens auch, Allerdings filtert snort dann alles heraus, auch textdateien die diesen Teil enthalten.

@Jinto


Allerdings filtert snort dann alles heraus, auch textdateien die diesen Teil enthalten.

ich weiß, das ich gern das letzte wort habe :D. du kannst imho bei snort, das ganze auch auf ip-addressen einschränken. ich geb dir aber recht, das squid wohl etwas eleganter wäre.



Gruß HL

moin moin

so, ich hab mir jetzt den junkbuster installiert und schon ist schluß mit ausspionieren :)


Gruß HL

Jinto schreibt: Irgendwo im Web habe ich mal eine Auflistung
gesehen, auf wessen Seiten ivwbox überall vertreten ist.
Doubleclick ist ein ähnliches Unternehmen...

Der Vorschlag von HangLoose mit Junkbusters ist sicher 'zielführend',
wenn auch etwas aufwendig. Vor allem da ich aus Windows-Zeiten
schon eine beachtliche Sammlung derartiger Datenjäger hatte und
diese Lösung funktioniert:

Sowohl unter Windows'sen als auch Linux'en gibt es eine Datei 'hosts',
deren Inhalt darin besteht, im rechten Zeilenteil die ursprüngliche URL
aufzuführen und im linken Zeilenteil die umzusetzende neue URL.
In Firmen ist das sehr praktisch, wenn sich zB. die IP des Mailservers
ändert, ist nur eine Anpassung in der Datei hosts notwendig.

Unter der privaten Zielsetzung würde man in der Datei /etc/hosts
folgenden Eintrag hinzufügen :
127.0.0.1 ivwbox.de

.. und schon wird die Anfrage nicht mehr gesendet, sondern auf
localhost umgelenkt und damit unschädlich gemacht. So ähnlich
arbeiten zB. die Jugendfilter. Wenn Bedarf besteht, kann ich hier
// mal eine ziemlich aktuelle (und große) hosts-Datei anhängen.

"Oh weh - das dauert aber, diese Tabelle jedesfalls zu durchfliegen -"
hatte ich ursprünglich gedacht. Ist aber genau umgekehrt, das
(wahrscheinlich auch gecachte) Abarbeiten der Tabelle geschieht
schneller als das evtl. Senden der Pakete - jedenfalls nach meinen
subjektiven Durchsatz-Beobachtungen von vor rund zwei Jahren.

@LX-Ben

von dieser methode hab ich auch schonmal gelesen. problem ist hierbei bloß, das man erstmal eine liste der üblichen verdächtigen haben muss. mich würde deine auf jeden fall interessieren, auch wenn ich bis jetzt mit junkbuster sehr zufrieden bin.


Gruß HL

Was man so alles sammeln kann!
OK, rund 12580 Zeilen.. :D

doch so wenig :D:D

thx, werd das mal bei gelegenheit testen


Gruß HL