---

Hej!

Jeg har for nylig sat en http-server op. Jeg har bemærker, at der to
gange i dag er sket følgende (fra to forskellige ip-adresser):

12.233.85.42 - - [07/May/2002:18:09:26 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
NNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780\
1%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
\ HTTP/1.0" 400 330 "-" "-"

Er det noget, jeg skal frygte? Det kunne godt se ud, som om nogen prøvede
at lave noget skummelt. Hvis dette er tilfældet, er jeg mon så godt nok
garderet imod det?

-> Michael Knudsen

---

Michael Knudsen <knudsen@imf.au.dk> wrote:
> Hej!
>
> Jeg har for nylig sat en http-server op. Jeg har bemærker, at der to
> gange i dag er sket følgende (fra to forskellige ip-adresser):

Google er din ven. Soeg efter default.ida -- det er et modul til
Microsoft's IIS som der blev fundet et hul i sidste aar. Code Red blev
naevnt i alle medier i en periode paa 14 dage, eller noget.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Michael Knudsen <knudsen@imf.au.dk> writes:

> Er det noget, jeg skal frygte? Det kunne godt se ud, som om nogen prøvede
> at lave noget skummelt.

Ligner et Nimda-angreb. Den herskende orm på IIS-servere engang
tilbage i august. Er de ved at få en renæsance?

> Hvis dette er tilfældet, er jeg mon så godt nok garderet imod det?

Så længe du ikke bruger IIS burde du være sikker.

--
Peter Makholm | Have you ever felt trapped inside a Klein bottle?
peter@makholm.net |
http://hacking.dk |

---

Peter Makholm skrev:

> Ligner et Nimda-angreb. Den herskende orm på IIS-servere engang
> tilbage i august. Er de ved at få en renæsance?

Der er ikke flere nu, end der hele tiden har været. Jeg har kørt
sådan en LaBrea tjærepøl i en hel del måneder efterhånden, og der
er til enhver tid mindst 4-5 orme i fælden (de får vristet sig
løs efterhånden). Jeg har ikke lavet formel statistik på tallene,
og for det meste får programmet lov til at pase sig selv, men mit
indtryk er at antallet af orme har været nogenlunde konstant i år.


// Klaus

--
><>    vandag, môre, altyd saam

---

Michael Knudsen skrev:

> Det kunne godt se ud, som om nogen prøvede at lave noget skummelt.
> Hvis dette er tilfældet, er jeg mon så godt nok garderet imod det?

Så længe du ikke kører Windows, har du vist ikke noget at frygte -
det er en Windows-orm, der er på spil (og har været det *meget*
længe). Hm, jo, der var vist noget med en Cisco-router der kunne
gå i baglås hvis ormen forsøgte at bruge webinterfacet, men jeg
kan ikke huske detaljerne.

Hvis du har en eller flere ledige IP-adresser, så prøv at installere
LaBrea tjærepølen fra <http://www.hackbusters.net/LaBrea/>. Der
plejer ikke at gå lang tid (max ½ time) fra man har startet pro-
grammet, til den første orm (som din ovenfor) er gået i fælden.
Tsk-tsk.


// Klaus

--
><>    vandag, môre, altyd saam

---

On Tue, 07 May 2002 20:20:04 +0200, Klaus Alexander Seistrup wrote:

> Så længe du ikke kører Windows, har du vist ikke noget at frygte - det
> er en Windows-orm, der er på spil (og har været det *meget* længe). Hm,
> jo, der var vist noget med en Cisco-router der kunne gå i baglås hvis
> ormen forsøgte at bruge webinterfacet, men jeg kan ikke huske
> detaljerne.

Hmmmm...jeg håber ikke, der sker noget me min Cisco 677 router

-> Michael Knudsen

---

Michael Knudsen skrev:

> jeg håber ikke, der sker noget med min Cisco 677 router

cbos#set web dis


// Klaus

--
><>    vandag, môre, altyd saam

---

Michael Knudsen <knudsen@imf.au.dk> writes:

>> [ ... ] Hm, jo, der var vist noget med en Cisco-router der kunne gå
>> i baglås hvis ormen forsøgte at bruge webinterfacet, men jeg kan
>> ikke huske detaljerne.
>
> Hmmmm...jeg håber ikke, der sker noget me min Cisco 677 router

Det gør der ikke når du har forwardet al indkommende trafik på port
80/tcp til din webserver.

Min Cisco 677 var nede i et par dage sidste sommer (mens jeg var på
ferie selvfølgelig) fordi jeg ikke havde forwardet port 80/tcp nogen
steder hen, og ikke havde flyttet den port webinterfacet lytter
på. Jeg havde ikke 'set web dis', som slår det der webhejs fra, men
det var ikke nok. SÃ¥ man kan lige lave en 'set web port 88' eller
lignende, og så er den helt sikker.

Blev det i øvrigt ikke fikset i CBOS 2.4.3? Det tror jeg nok.

--
Jacob - www.bunk.cc
Peace be to this house, and all that dwell in it.

---

Klaus Alexander Seistrup <jakabov119@magnetic-ink.dk> writes:

> Michael Knudsen skrev:
>
>> jeg håber ikke, der sker noget med min Cisco 677 router
>
> cbos#set web dis

Det er ikke nok

Der skal en 'set web port 88' eller lignende til også.

--
Jacob - www.bunk.cc
Your talents will be recognized and suitably rewarded.

---

Jacob Bunk Nielsen wrote:

> Klaus Alexander Seistrup <jakabov119@magnetic-ink.dk> writes:
>
>> Michael Knudsen skrev:
>>
>>> jeg håber ikke, der sker noget med min Cisco 677 router
>>
>> cbos#set web dis
>
> Det er ikke nok
>
> Der skal en 'set web port 88' eller lignende til også.

Vil det sige, at webinterfacet er slået til på det eksterne interface og
ikke kan slås helt fra???

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
A computer without Windows, is like a fish without a bicycle.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus =?ISO-8859-15?Q?B=F8g?= Hansen <moffe47@hotmail.com> wrote
in news:ab9b7t$erv$1@carlsberg.amagerkollegiet.dk

>>>> jeg håber ikke, der sker noget med min Cisco 677 router
>>>
>>> cbos#set web dis
>>
>> Det er ikke nok
>>
>> Der skal en 'set web port 88' eller lignende til også.
>
> Vil det sige, at webinterfacet er slået til på det eksterne
> interface og ikke kan slås helt fra???

nope, det er nok hvis du router port 80 til en intern adresse.
Jeg har min routet over til min servermaskine, jeg har *ingen*
problemer haft med at Nimda generede min router.

--
Henrik Stidsen | HS235-DK | Ikke eksisterende samleobjekt
http://min.hjemmeside.er.paa.http.kolon.2-x-skraastreg.susie.dk/
"These opinions are my own, though for a small fee they
be yours too." -- Dave Haynie

---

Jacob Bunk Nielsen skrev:

>> cbos#set web dis
>
> Det er ikke nok
>
> Der skal en 'set web port 88' eller lignende til også.

Tak for tilføjelsen.


// Klaus

--
><>    vandag, môre, altyd saam

---

Rasmus Bøg Hansen <moffe47@hotmail.com> writes:

>> [ Cisco 677 ]
>
> Vil det sige, at webinterfacet er slået til på det eksterne interface og
> ikke kan slås helt fra???

Ja, desværre.

Det er det samme med telnet. Du kan godt lave en 'set telnet remote
<min-ip>', men andre vil stadig kunne oprette TCP-forbindelsen,
hvorefter de bliver smidt af med det samme igen, ganske som du kender
det fra tcpwrappers.

Se her:

$ telnet router.bunk.cc
Trying 10.0.0.1...
Connected to router.bunk.cc.
Escape character is '^]'.
Connection closed by foreign host.
$

Den bedste måde at sikre sig er ved at lave en filterregel, men dem
kan man desværre kun lave 20 af.

--
Jacob - www.bunk.cc
Don't hit the keys so hard, it hurts.

---

On Tue, 07 May 2002 20:06:00 +0200, Michael Knudsen wrote:


> 12.233.85.42 - - [07/May/2002:18:09:26 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
> NNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780\
> 1%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a \
> HTTP/1.0" 400 330 "-" "-"
>
> Er det noget, jeg skal frygte? Det kunne godt se ud, som om nogen
> prøvede at lave noget skummelt. Hvis dette er tilfældet, er jeg mon så
> godt nok garderet imod det?

Hvis du nu kikkede ikke error.log vil den nok vise en 404 kode, ud for det
angivne entry... og så skal man ikke tænke særligt langt, for at drage en
konklusion..

--
Med venlig hilsen
Bo Simonsen

Join the GNU generation

---

On Tue, 07 May 2002 22:37:25 +0200, Bo Simonsen wrote:

>> \ HTTP/1.0" 400 330 "-" "-"

> Hvis du nu kikkede ikke error.log vil den nok vise en 404 kode,

Næppe, da der står 400 ovenfor (400 Bad Request).


,

--
"Alla sammanträffande med verkligheten är helt Adam Sjøgren
slumpmässiga, alla melodier är påhittade." asjo@koldfront.dk

---

On Tue, 07 May 2002 22:46:01 +0200, Adam Sjøgren wrote:

> Næppe, da der står 400 ovenfor (400 Bad Request).

Ja en trykfjæl ;)

--
Med venlig hilsen
Bo Simonsen

Join the GNU generation

---

On Tue, 07 May 2002 22:37:25 +0200, Bo Simonsen <paltas@geekworld.dk>
wrote:

>> 12.233.85.42 - - [07/May/2002:18:09:26 +0200] "GET
>> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\
[..]
>> HTTP/1.0" 400 330 "-" "-"
>Hvis du nu kikkede ikke error.log vil den nok vise en 404 kode, ud for det
>angivne entry... og så skal man ikke tænke særligt langt, for at drage en
>konklusion..

Nok snarere en 400, som angivet.

(pga. en defekt host-angivelse i HTTP-headeren)

--
- Peter Brodersen