---

Hej,

Jeg kører Apache/PHP på min WinXP-dåse.

Jeg har lige kigget i min log og set at Apache lige er blevet angrebet af et
"Script" - der er hundredevis af 404 til suspekte URLs genereret på eet
sekund.

Følgende er de mest interessante, timestamp er cuttet ud af sparehensyn:

10.0.0.2 ... "HEAD / HTTP\1.0" 200 0
10.0.0.2 ... "HEAD /// HTTP/1.0" 200 0
10.0.0.2 ... "HEAD ///server-info HTTP/1.0" 404 0
10.0.0.2 ... "HEAD ///server-status HTTP/1.0" 404 0
....
10.0.0.2 ... "HEAD /~nobody/ HTTP/1.0" 404 0
10.0.0.2 ... "HEAD ///manual/ HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/ HTTP/1.0" 403 0
10.0.0.2 ... "HEAD /cgi-bin/ad.cgi HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/aglimpse HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/AnyForm2 HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/bbs_forum.cgi HTTP/1.0" 404 0
....
10.0.0.2 ... "HEAD /cgi-bin/register.cgi HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/simplestguest.cgi HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/statusconfig.pl HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/webgais HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /iisadmpwd/ HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/webgais HTTP/1.0" 404 0
10.0.0.2 ... "HEAD /cgi-bin/perl.exe HTTP/1.0" 404 0
....
10.0.0.2 ... "HEAD /Admin_files/ HTTP/1.0" 404 0
....
10.0.0.2 ... "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0
....
10.0.0.2 ... "GET /cgi-bin/store.cgi?StartID=../etc/passwd%00.html HTTP/1.0"
404 279

Fint nok, det er jo ret klodset!

Menøh - hvorfor er det *min egen* IP der optræder i apache-loggen? Kan man
bare skrive en vilkårlig IP når man angriber, og hvordan finder jeg (evt.
fremover) den rigtige IP?

Har jeg grund til at være bekymret?

På forhånd tak :)


--
Mvh. Mogens
www.momech.dk
"Åbent 10-14, dog frokostpause 11-13"

---

Mogens Meier Christensen wrote:

>Jeg kører Apache/PHP på min WinXP-dåse.
>
>Jeg har lige kigget i min log og set at Apache lige er blevet angrebet af et
>"Script" - der er hundredevis af 404 til suspekte URLs genereret på eet
>sekund.
>
>Følgende er de mest interessante, timestamp er cuttet ud af sparehensyn:
>
>10.0.0.2 ... "HEAD / HTTP\1.0" 200 0

<snip>

>Fint nok, det er jo ret klodset!
>
>Menøh - hvorfor er det *min egen* IP der optræder i apache-loggen? Kan man
>bare skrive en vilkårlig IP når man angriber, og hvordan finder jeg (evt.
>fremover) den rigtige IP?

Tja. Nu siger du at 10.0.0.2 er din egen IP, hvilket tyder på at du
sidder på et lokalt netværk. Kan det eventuelt være din router der
"angriber" dig? Altså, routeren der videresender requests udefra til din
interne IP-adresse? På den måde skal routeren jo have IP-adressen
10.0.0.2 og det siger du den ikke har.

>Har jeg grund til at være bekymret?

Mjøøøh... Det er lidt svært at svare på. Det virker umiddelbart ret
mystisk.

Har du prøvet at virusscanne svinet? Altså din computer!

--
"...in Spain!"

---

On 17 Jan 2002 16:46:13 GMT, Christian Andersen
<m4jni76ztglp001@sneakemail.com> wrote:

>Altså, routeren der videresender requests udefra til din
>interne IP-adresse?

I så fald vil routeren sende med den eksterne adresse som source-IP,
og sin egen MAC-adresse som source-MAC.

Alternativt fungerer den ikke :)

--
- Peter Brodersen

---

Christian Andersen wrote - og Mogens svarede i email:

>>>Menøh - hvorfor er det *min egen* IP der optræder i apache-loggen? Kan man
>>>bare skrive en vilkårlig IP når man angriber, og hvordan finder jeg (evt.
>>>fremover) den rigtige IP?

>>Tja. Nu siger du at 10.0.0.2 er din egen IP, hvilket tyder på at du
>>sidder på et lokalt netværk.

>Korrekt: LAN koblet på en Cisco 677 ADSL Router (Cybercity).

>>Kan det eventuelt være din router der
>>"angriber" dig? Altså, routeren der videresender requests udefra til din
>>interne IP-adresse?

>Altså Spoofing-angreb (har lige læst mig til det ord :)?

Nej. Jeg snakker om ganske almindelig NAT (Network Adress Translation).
www.net-faq er din ven. Søg og du skal finde (jeg har ikke lige en
direkte URL)

>>På den måde skal routeren jo have IP-adressen
>>10.0.0.2 og det siger du den ikke har.

>Nej routeren er 10.0.0.1
>
>Ud fra hvad jeg har skimmet mig til på
>http://www.linuxgazette.com/issue63/sharma.html og
>http://ciac.llnl.gov/ciac/bulletins/f-08.shtml tror jeg det er
>spoofing-angreb.

Det er jeg absolut ikke sikker på. Medmindre du har andre maskiner bag
din router og en af dem er kompromitteret, kan du ikke være udsat for et
IP-spoofing angreb med RFC-1918 adresser (altså 192.168.X.X, 172.16.X.X
og 10.X.X.X). Den type angreb der er i din log er betinget af at
angriberen kan få svar fra din computer.

>Jeg vil derfor sætte routeren til at dræbe pakker ude fra internet der
>siger at de kommer fra vores LAN.

Altid en god ide. Men det du beskriver her er "source routede" pakker.
Altså pakker med en destinations-adresse på dit interne LAN og en
afsender-adresse ude på internettet. Nogle routere er så fejlagtigt sat
op til at tillade dem at komme ind.

>Men jeg har stadig ikke helt forstået hvad man får ud af at skrive at
>man hedder 10.0.0.2 - hvorfor ryger pakkerne så tilbage til angriberen i
>stedet for at blive tabt på min PC?

Se ovenfor. Afsenderadressen er god nok.

For at opsummere. Du kan *muligvis* være udsat for et angreb med
source-routede pakker. Det vil jeg dog anse for ret usandsynligt da det
ligner et ganske almindeligt script-angreb (=ikke særlig sofistikeret).

Indtil andre beviser foreligger tror jeg simpelthen at det er Apache
der er fejlkonfigureret til at vise den forkerte IP-adresse. Eventuelt
din router (som jeg ikke kender) der ikke sender den rigtige IP-adresse
med.

Og til allersidst. Svar venligst i gruppen og ikke pr. email. På den
måde kan alle være med

--
"...in Spain!"

---

Christian Andersen <m4jni76ztglp001@sneakemail.com> wrote:

>Men det du beskriver her er "source routede" pakker.
>Altså pakker med en destinations-adresse på dit interne LAN og en
>afsender-adresse ude på internettet.

Øh, er det en source routet pakke?

Er det ikke i stedet (når vi snakker "onde" source routede pakker) en
pakke med spoofet afsender-ip samt information om, hvilken vej
svarpakker skal tage?

Altså nærmest ligesom en email, hvor From: er forskellig fra Reply-To:


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

>>Men det du beskriver her er "source routede" pakker.
>>Altså pakker med en destinations-adresse på dit interne LAN og en
>>afsender-adresse ude på internettet.

>Øh, er det en source routet pakke?
>
>Er det ikke i stedet (når vi snakker "onde" source routede pakker) en
>pakke med spoofet afsender-ip samt information om, hvilken vej
>svarpakker skal tage?

Nej. Det er pakker, hvor afsenderen har bestemt hvilken vej pakken skal
følge til destinationen istedet for at det bliver bestemt af de
mellemliggende routere.

http://www.ja.net/CERT/JANET-CERT/prevention/cisco/private_addresses.html

Source routing is a debugging technique which allows packets to
explicitly state the route they wish to follow to their destination rather
than following normal routing rules.

I scenariet med "onde" pakker angiver angriberen altså offerets routers
externe IP som route. På den måde ankommer pakken direkte til routeren
med en RFC-1918 adresse som destination og bliver gladeligt lukket ind
hvis routeren er fejlkonfigureret. Hvis pakken ikke blev source routed,
ville den være blevet smidt væk af en af de "rigtige" routere på
internettet pga. den ugyldige destinations-adresse.

--
"...in Spain!"

---

In article <3c471e1a$0$89067$edfadb0f@dspool01.news.tele.dk>, Christian Andersen wrote:
>
> I scenariet med "onde" pakker angiver angriberen altså offerets routers
> externe IP som route. På den måde ankommer pakken direkte til routeren
> med en RFC-1918 adresse som destination og bliver gladeligt lukket ind
> hvis routeren er fejlkonfigureret. Hvis pakken ikke blev source routed,
> ville den være blevet smidt væk af en af de "rigtige" routere på
> internettet pga. den ugyldige destinations-adresse.

Kender du til nogen ISP der accepterer source routede pakker?

--
Andreas Plesner Jacobsen | Old Grandad is dead but his spirits live on.

---

Andreas Plesner Jacobsen wrote:

>> I scenariet med "onde" pakker angiver angriberen altså offerets routers
>> externe IP som route. På den måde ankommer pakken direkte til routeren
>> med en RFC-1918 adresse som destination og bliver gladeligt lukket ind
>> hvis routeren er fejlkonfigureret. Hvis pakken ikke blev source routed,
>> ville den være blevet smidt væk af en af de "rigtige" routere på
>> internettet pga. den ugyldige destinations-adresse.

>Kender du til nogen ISP der accepterer source routede pakker?

Er min forklaring forkert?

--
"...in Spain!"

---

In article <3c472317$0$80436$edfadb0f@dspool01.news.tele.dk>, Christian Andersen wrote:
>
>>> I scenariet med "onde" pakker angiver angriberen altså offerets routers
>>> externe IP som route. På den måde ankommer pakken direkte til routeren
>>> med en RFC-1918 adresse som destination og bliver gladeligt lukket ind
>>> hvis routeren er fejlkonfigureret. Hvis pakken ikke blev source routed,
>>> ville den være blevet smidt væk af en af de "rigtige" routere på
>>> internettet pga. den ugyldige destinations-adresse.
>
>>Kender du til nogen ISP der accepterer source routede pakker?
>
> Er min forklaring forkert?

Nej, men source routing er ikke en reel trussel. Ingen ISPer har det
slået til, og det er slået fra pr default på ihvertfald Cisco routere.
Derudover burde en evt kunderouter også tage højde for dette, jeg aner
ikke om det er tilfældet.
En acl på ydersiden, der ikke tillader pakker med source i rfc1918-space
ville ihvertfald løse det.

--
Andreas Plesner Jacobsen | Conformity is the refuge of the unimaginative.

---

In article <slrna4e8t9.755.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
>>
>>>Kender du til nogen ISP der accepterer source routede pakker?
>>
>> Er min forklaring forkert?
>
> En acl på ydersiden, der ikke tillader pakker med source i rfc1918-space
> ville ihvertfald løse det.

Eller unicast reverse path verification.

--
Andreas Plesner Jacobsen | The Macintosh is Xerox technology at its best.

---

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrna4e8ve.755.apj@slartibartfast.nerd.dk...
> > En acl på ydersiden, der ikke tillader pakker med source i rfc1918-space
> > ville ihvertfald løse det.

> Eller unicast reverse path verification.

Ingen af delene siger mig noget som helst...?

--
Mvh. Mogens

---

Andreas Plesner Jacobsen wrote:

>>>Kender du til nogen ISP der accepterer source routede pakker?

>> Er min forklaring forkert?

>Nej, men source routing er ikke en reel trussel. Ingen ISPer har det
>slået til, og det er slået fra pr default på ihvertfald Cisco routere.

Godt så. Så er det jo nok ikke *det* Mogens bliver angrebet af.

--
"...in Spain!"

---

Hej, jeg prøver at overskue tråden og kun svare på det "aktuelle" :)

"Christian Andersen" <m4jni76ztglp001@sneakemail.com> wrote in message
news:3c470896$0$95340$edfadb0f@dspool01.news.tele.dk...

[angreb fra "10.0.0.2" på 10.0.0.2 iflg. Apache-log]

> Medmindre du har andre maskiner bag
> din router og en af dem er kompromitteret,

Der er to maskiner, min WinXP og kærestens Win2K.
Begge er fuldt opdateret. Begge kører software-firewalls (Tiny hhv.
ZoneAlarm).
Begge kører nyeste Sophos antivirus som siger de er "clean".

Umiddelbart er der ikke noget alarmerende her, synes jeg.

> kan du ikke være udsat for et
> IP-spoofing angreb med RFC-1918 adresser (altså 192.168.X.X, 172.16.X.X
> og 10.X.X.X). Den type angreb der er i din log er betinget af at
> angriberen kan få svar fra din computer.

Jeg kan jo ikke vide om han får svar, eller om han bare sender requests
afsted?

> >Jeg vil derfor sætte routeren til at dræbe pakker ude fra internet der
> >siger at de kommer fra vores LAN.
>
> Altid en god ide.

"Jeg ka' ik' hitte u' a'd! :("

Jeg har åbenbart ikke helt forstået hvordan killfilteret skal konfigureres,
for jeg får lukket for al trafik hvis jeg siger at indkomne pakker fra inet
med source IP 10.0.0.2 skal dræbes!?

> Men det du beskriver her er "source routede" pakker.
> Altså pakker med en destinations-adresse på dit interne LAN og en
> afsender-adresse ude på internettet. Nogle routere er så fejlagtigt sat
> op til at tillade dem at komme ind.

Er der nogen der ved hvordan Cisco 677 CBOS v2.4.2 opfører sig på det punkt?

> For at opsummere. Du kan *muligvis* være udsat for et angreb med
> source-routede pakker. Det vil jeg dog anse for ret usandsynligt da det
> ligner et ganske almindeligt script-angreb (=ikke særlig sofistikeret).

Jeg er helt enig!

> Indtil andre beviser foreligger tror jeg simpelthen at det er Apache
> der er fejlkonfigureret til at vise den forkerte IP-adresse.

1) Det er standard-install af Apache jeg så har rettet til få steder.
Log-formatet er "common" fra standard-install.
2) Der optræder normalt eksterne IP-adresser på det sted hvor den interne
stod, f.eks. hvis jeg henter siden via www.mbn.dk/q kommer der en ekstern
IP, 80.x.x.x

> Eventuelt din router (som jeg ikke kender) der ikke sender den
> rigtige IP-adresse med.

Det skal jeg ikke kunne afvise. Men de fleste er rigtige - så hvis det er,
så er det en periodisk eller provokeret fejl.

> Og til allersidst. Svar venligst i gruppen og ikke pr. email. På den
> måde kan alle være med

Beklager meget, det var en fejl - CTRL-G og CTRL-R sidder lidt for løst i
fingrene :)

--
Mvh. Mogens
www.momech.dk
"Åbent 10-14, dog frokostpause 11-13"

---

> Tja. Nu siger du at 10.0.0.2 er din egen IP, hvilket tyder på at du
> sidder på et lokalt netværk.

Korrekt: LAN koblet på en Cisco 677 ADSL Router (Cybercity).

>Kan det eventuelt være din router der "angriber" dig?

Njah...

> Altså, routeren der videresender requests udefra til din
> interne IP-adresse?

Altså Spoofing-angreb (har lige læst mig til det ord :)?

> På den måde skal routeren jo have IP-adressen
> 10.0.0.2 og det siger du den ikke har.

Nej routeren er 10.0.0.1


Ud fra hvad jeg har skimmet mig til på
http://www.linuxgazette.com/issue63/sharma.html og
http://ciac.llnl.gov/ciac/bulletins/f-08.shtml tror jeg det er
spoofing-angreb.

Jeg vil derfor sætte routeren til at dræbe pakker ude fra internet der siger
at de kommer fra vores LAN.


Men jeg har stadig ikke helt forstået hvad man får ud af at skrive at man
hedder 10.0.0.2 - hvorfor ryger pakkerne så tilbage til angriberen i stedet
for at blive tabt på min PC?

> Har du prøvet at virusscanne svinet? Altså din computer!

Ja, der er ikke noget at hente med Sophos 3.52, nyeste IDE.

Tak for svaret! :)

Mvh. Mogens
www.momech.dk
"Åbent 10-14, dog frokostpause 11-13"