win server scans

Rund um die Sicherheit des Systems und die Applikationen
buddha
Posts: 21
Joined: 2003-01-17 10:05
Location: hessen

win server scans

Post by buddha » 2003-01-28 14:27

huhu hab mir mal meine log angesehen und wollt wissen obs ne möglichkeit gibt diese scans direkt zu blocken?
217.172.70.114 - - [27/Jan/2003:01:09:00 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293
217.172.70.114 - - [27/Jan/2003:01:09:00 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 277
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 277
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294

sind super viele dieser einträge :-/

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: win server scans

Post by captaincrunch » 2003-01-28 14:32

Mit einem Patch für IPTables kannst du solche Strings direkt ausfiltern, hab aber gerade keinen Link zur Hand. Die Frage ist nur, ob sich der Anfwand lohnt, von Scriptkiddies mit IIS-Exploits bomardiert zu werden ist doch normal, ich find's eher süß ... :wink:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

buddha
Posts: 21
Joined: 2003-01-17 10:05
Location: hessen

Re: win server scans

Post by buddha » 2003-01-28 14:50

kann man eigentlich mit diesen logs rechtliche schritte einleiten alla anzeige wegen blablub nur mal interesseweise

sieht ja ganz witzig aus nur geht damit nicht etwas die verbindungsrate runter? oder ist das quasi unrelevant?

außerdem werden die logs so groß :lol:

[tom]
Posts: 656
Joined: 2003-01-08 20:10
Location: Berlin

Re: win server scans

Post by [tom] » 2003-01-28 14:52

kann man eigentlich mit diesen logs rechtliche schritte
Nö - zwingt Dich ja keiner zu loggen. Kannst ja Logging disablen. ;-)

[TOM]

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: win server scans

Post by captaincrunch » 2003-01-28 15:24

kann man eigentlich mit diesen logs rechtliche schritte einleiten alla anzeige wegen blablub nur mal interesseweise
IMHO nicht, besonders deshalb, weil das zeugs ja keinen unmittelbaren Schaden hinterlässt. Was du machen könntest, wäre, die Provider der jeweiligen IPs anzumailen (abuse@provider.de), und denen die Sachlage zu schildern. Im Normalfall passiert da aber nicht viel ...
sieht ja ganz witzig aus nur geht damit nicht etwas die verbindungsrate runter? oder ist das quasi unrelevant?
Wenn ein Scriptkid aus seiner (bestenfalls) DSL-Leitung solche Anfragen an deinen Server schickt, der durch eine ganz dicke Leitung ans Internet angeunden ist, wirst du bandbreitenmäßig herzlich wenig davon mitbekommen. Die Last auf dem Server wird auch kaum spürbar sein ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

barto
Posts: 88
Joined: 2003-01-09 19:13

Re: win server scans

Post by barto » 2003-01-28 19:50

tja und oft kommen solche anfragen dann von mit CodeRed/Nimbda-infizierten IIS-Webservern, wo der betreffende Verantwortliche (vielleicht) gar keine Ahnung hat :)