---

Jeg er ikke helt sikker på, om dette er det perfekte
forum at stille dette spørgsmål, men nu spørger jeg
alligevel.

Jeg har sat en dummy SMTP server op, som blot logger
alle sessioner og i øvrigt intet andet gør. Kan nogen
forklare mig, hvad klienten her har prøvet på?

220 server.name.is.invalid SMTP This is not a mail server
HELO none
250 Hvad skal jeg sige?
MAIL FROM:<temp@something.com>
250 Hvad skal jeg sige?
RCPT TO:<btw@usermail.com>
250 Hvad skal jeg sige?
DATA
354 Skriv en masse spam, og afslut med "." på en linie for sig selv
Reply-To: temp@something.com
From: temp@something.com
To: btw@usermail.com
Subject: hey
Sender: temp@something.com
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Mon, 10 Jun 2002 23:04:32 -0700

what's up?
MAILINFO:[73/354/98/:2xpqk
MAILINF2:[74/2::/352/333xpqj
..
250 Hvad skal jeg sige?
QUIT
221 Nå, så smuttede du endelig

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

> Jeg har sat en dummy SMTP server op, som blot logger
> alle sessioner og i øvrigt intet andet gør. Kan nogen
> forklare mig, hvad klienten her har prøvet på?

Den prøver at bruge din maskine som relay til at sende spam. Jeg
får et par stykker af den slags dagligt.

> MAIL FROM:<temp@something.com>

Sikkert en fake adresse.

> RCPT TO:<btw@usermail.com>

Staklen som får skidtet i sin postkasse.

> what's up?
> MAILINFO:[73/354/98/:2xpqk
> MAILINF2:[74/2::/352/333xpqj

Et eller andet snask, der nok er en attachment eller lignende.

-Claus

---

Claus Rasmussen wrote:

Fandt lige følgende i mine logs:

g5B8rOI25077: ruleset=check_rcpt, arg1=<btw@usermail.com>,
relay=adsl-63-199-241-222.dsl.sndg02.pacbell.net [63.199.241.222],
reject=550 5.7.1 <btw@usermail.com>... Relaying denied

Samme modtager. Det kan være, at "btw@usermail.com" bliver brugt som
testadresse af spammer-waren.

-Claus

---

Claus Rasmussen wrote:
>
> Claus Rasmussen wrote:
>
> Fandt lige følgende i mine logs:
>
> g5B8rOI25077: ruleset=check_rcpt, arg1=<btw@usermail.com>,
> relay=adsl-63-199-241-222.dsl.sndg02.pacbell.net [63.199.241.222],
> reject=550 5.7.1 <btw@usermail.com>... Relaying denied
>
> Samme modtager. Det kan være, at "btw@usermail.com" bliver brugt som
> testadresse af spammer-waren.
>
> -Claus

Hmmm, der står samme source IP i min firewall log!

Jun 11 07:13:11 eddie kernel: iptables ACCEPT: IN=eth0
OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
SRC=63.199.241.222 DST=62.xx.xxx.91 LEN=48 TOS=0x00
PREC=0x00 TTL=111 ID=37632 DF PROTO=TCP SPT=3135
DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0

Kan man gøre noget ved det? Jeg får næsten lyst til
at prøve at relaye denne ene mail ved håndkraft for
at se, hvad han ellers kan finde på, hvis han tror
jeg har et åbent relay, som er konfigureret til ikke
at afslører hans IP addresse.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

>> Claus Rasmussen wrote:
>>
>> Fandt lige følgende i mine logs:
>>
>> g5B8rOI25077: ruleset=check_rcpt, arg1=<btw@usermail.com>,
>> relay=adsl-63-199-241-222.dsl.sndg02.pacbell.net [63.199.241.222],
>> reject=550 5.7.1 <btw@usermail.com>... Relaying denied
>>
>> Samme modtager. Det kan være, at "btw@usermail.com" bliver brugt som
>> testadresse af spammer-waren.
>>
>> -Claus
>
> Hmmm, der står samme source IP i min firewall log!
>
> Jun 11 07:13:11 eddie kernel: iptables ACCEPT: IN=eth0
> OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
> SRC=63.199.241.222 DST=62.xx.xxx.91 LEN=48 TOS=0x00
> PREC=0x00 TTL=111 ID=37632 DF PROTO=TCP SPT=3135
> DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0
>
> Kan man gøre noget ved det? Jeg får næsten lyst til
> at prøve at relaye denne ene mail ved håndkraft for
> at se, hvad han ellers kan finde på, hvis han tror
> jeg har et åbent relay, som er konfigureret til ikke
> at afslører hans IP addresse.

Det er en herlig idé, hvis du har lidt båndbredde til overs. Faktisk
svarer det ret præcist til det koncept der er bedre kendt som en
"Honeypot". Hvis du kan få ham til at tro at han kan relaye mail gennem
din server, så er der en rigtig god mulighed for at sluge nogle tusinde
spammails som ellers ville havnet hos uskyldige modtagere.

Mht. den relaytest du fik, så er der en rigtig god mulighed for at de
to MAILINFO-linier indeholder information om hvilken IP der er testet
samt et timestamp.

Du kan selvfølgelig også overveje at kontakte abuse@pacbell.net
og/eller postmaster@usermail.com og fortælle dem at de har en bruger
der scanner for åbne relays.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

"Niels Callesøe" wrote:
>
> Kasper Dupont wrote:
>
> >
> > Kan man gøre noget ved det? Jeg får næsten lyst til
> > at prøve at relaye denne ene mail ved håndkraft for
> > at se, hvad han ellers kan finde på, hvis han tror
> > jeg har et åbent relay, som er konfigureret til ikke
> > at afslører hans IP addresse.
>
> Det er en herlig idé, hvis du har lidt båndbredde til overs. Faktisk
> svarer det ret præcist til det koncept der er bedre kendt som en
> "Honeypot".

Jeg prøvede at relaye den ene besked og han kom sørme tilbage
og prøvede at sende en ny besked med samme afsender og modtager
addresse. Men desværre var harddiskpartitionen fuld da han
nåede til DATA, så den besked gik tabt.

Jeg har tilgengæld i mellemtiden haft nogle andre interesante
besøg fra to forskellige IP addresser. Er det mon også forsøg
på at finde åbne relays?

220 server.name.is.invalid SMTP This is not a mail server
HELO eon.dk
250 Hvad skal jeg sige?
QUIT
221 Nå, så smuttede du endelig
220 server.name.is.invalid SMTP This is not a mail server
HELO none
250 Hvad skal jeg sige?
MAIL FROM:<temp@something.com>
250 Hvad skal jeg sige?
RCPT TO:<btw@usermail.com>
250 Hvad skal jeg sige?
DATA
220 server.name.is.invalid SMTP This is not a mail server
HELO mail1.epfl.ch
250 Hvad skal jeg sige?
MAIL From: <devp94g@cww.de>
250 Hvad skal jeg sige?
RCPT To:<11fourty2@hotpop.com>
250 Hvad skal jeg sige?
DATA
354 Skriv en masse spam, og afslut med "." på en linie for sig selv
Message-ID: <054050046050052051046056055046057049@mail1.epfl.ch>
To: <11fourty2@hotpop.com>
From: devp94g@cww.de
Subject: Thank You
Date: Wed, 19 Jun 2002 11:43:21 -1600
MIME-Version: 1.0
Content-Type: text/plain;
   charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Outlook Express 5.00.3018.1300
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.3018.1300

054053046049050056046052053046049051052058048045049112111111108052053045049051052046110097115053051046115111109101114118105108108101049046109097046117115046100097046113119101115116046110101116058052051057052058049058
..
250 Hvad skal jeg sige?
QUIT
221 Nå, så smuttede du endelig
220 server.name.is.invalid SMTP This is not a mail server
HELO esacom57-ext.estec.esa.int
250 Hvad skal jeg sige?
MAIL From: <devp94g@donbosco.be>
250 Hvad skal jeg sige?
RCPT To:<axzivedio@hotpop.com>
250 Hvad skal jeg sige?
DATA
354 Skriv en masse spam, og afslut med "." på en linie for sig selv
Message-ID: <054050046050052051046056055046057049@esacom57-ext.estec.esa.int>
To: <axzivedio@hotpop.com>
From: devp94g@donbosco.be
Subject: Next time
Date: Wed, 19 Jun 2002 11:55:31 -1600
MIME-Version: 1.0
Content-Type: text/plain;
   charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Outlook Express 5.00.3018.1300
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.3018.1300

054053046049050056046052053046049051052058048045049112111111108052053045049051052046110097115053051046115111109101114118105108108101049046109097046117115046100097046113119101115116046110101116058052055050049058049058
..
250 Hvad skal jeg sige?
QUIT
221 Nå, så smuttede du endelig

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote in <news:3D10F285.81C21BAE@daimi.au.dk>:

> Jeg har tilgengæld i mellemtiden haft nogle andre interesante
> besøg fra to forskellige IP addresser. Er det mon også forsøg
> på at finde åbne relays?

Det ligner det i hvert fald ret godt. Mails der ikke indeholder andet
end én lang streng, kan næsten ikke være andet end noget spamware
relayscanner-noget.

Logger du i øvrigt ikke IP på den forbindende host?

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

"Niels Callesøe" wrote:
>
> Kasper Dupont wrote in <news:3D10F285.81C21BAE@daimi.au.dk>:
>
> > Jeg har tilgengæld i mellemtiden haft nogle andre interesante
> > besøg fra to forskellige IP addresser. Er det mon også forsøg
> > på at finde åbne relays?
>
> Det ligner det i hvert fald ret godt. Mails der ikke indeholder andet
> end én lang streng, kan næsten ikke være andet end noget spamware
> relayscanner-noget.
>
> Logger du i øvrigt ikke IP på den forbindende host?

Jo, i min firewall log. Jeg burde nok også logge dato og IP i min
honeypot, så jeg er fri for at sammenholde de to logs hver gang.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:
>
> 054053046049050056046052053046049051052058048045049112111111108052053045049051052046110097115053051046115111109101114118105108108101049046109097046117115046100097046113119101115116046110101116058052055050049058049058

Jeg har fandt ud af, hvordan man dekoder linien. Der står:
65.128.45.134:0-1pool45-134.nas53.somerville1.ma.us.da.qwest.net:4394:1:

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

"Niels Callesøe" wrote:
>
> Hvis du kan få ham til at tro at han kan relaye mail gennem
> din server, så er der en rigtig god mulighed for at sluge nogle tusinde
> spammails som ellers ville havnet hos uskyldige modtagere.

Nu lykkedes det at få nogen til at tro, jeg havde et åbent relay.
Den sidste time har min computer modtaget 6000 spammails. (Og de
er naturligvis ikke kommet vidre.)

Hvis det skulle have nogen interesse kommer de fra 12.104.79.147,
men det er ikke den IP, der er blevet brugt til at teste, om jeg
havde et åbent relay.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

> Nu lykkedes det at få nogen til at tro, jeg havde et åbent relay.
> Den sidste time har min computer modtaget 6000 spammails. (Og de
> er naturligvis ikke kommet vidre.)

Hvor herligt. 6000 (gange CC-size) færre spammails sendt. Mange bække
små..

Hvad er det egentlig for noget software du bruge til din honeypot?
Noget hjemmelavet, ikke?

> Hvis det skulle have nogen interesse kommer de fra 12.104.79.147,
> men det er ikke den IP, der er blevet brugt til at teste, om jeg
> havde et åbent relay.

Interessant.. der ser ikke ud til at være en åben proxy på den IP, så
enten har der været en der er nedtaget, eller også brugte spammeren
faktisk den IP til at sende fra. Måske postmaster@mtaonline.com ville
være interresseret?

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

"Niels Callesøe" wrote:
>
> Kasper Dupont wrote:
>
> > Nu lykkedes det at få nogen til at tro, jeg havde et åbent relay.
> > Den sidste time har min computer modtaget 6000 spammails. (Og de
> > er naturligvis ikke kommet vidre.)
>
> Hvor herligt. 6000 (gange CC-size) færre spammails sendt. Mange bække
> små..

7601 styks kunne jeg tælle det op til, da det langt om længe fik
en ende.

>
> Hvad er det egentlig for noget software du bruge til din honeypot?
> Noget hjemmelavet, ikke?

Jo, det er noget hjemmelavet. Det viste sig, at jeg har et lille
problem med flere samtidige SMTP sessioner, linierne fra de forskellige
sessioner bliver ganske enkelt blandet sammen. Da jeg skrev koden, var
jeg ikke klar over, at spammere bruger tre SMTP sessioner samtidig.
Måske skal jeg bare udskrive pid i starten af hver linie:

#include <stdio.h>
#include <string.h>
#include <time.h>
#include <unistd.h>
#include <sys/mman.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

#ifndef LOGFILENAME
#define LOGFILENAME "/var/tmp/mail.logs"
#endif

#define PSIZE 4096
#define BSIZE PSIZE*42
FILE *f;
char *buf;

static inline void log(const char *s)
{
fprintf(f,"%s\n",s);
fflush(f);
}

static inline void respond(const char *s)
{
log(s);
fprintf(stdout,"%s\r\n",s);
fflush(stdout);
}

static inline void removenl(char *p)
{
int i;
for (i=0;p[i];++i);
while(i) {
--i;
if ((p[i]!='\n')&&(p[i]!='\r')) return;
p[i]=0;
}
}

static inline void sessionlog(const char *s)
{
struct sockaddr_in sa;
socklen_t sal=sizeof(sa);
time_t t=time(NULL);
char *c=buf+PSIZE;
strcpy(c,ctime(&t));
removenl(c);
getpeername(0,(struct sockaddr*)&sa,&sal);
sprintf(buf,"===== %s ===== %s ===== Session %s ======",c,inet_ntoa(sa.sin_addr),s);
log(buf);
}

int main()
{
buf=mmap(NULL,BSIZE,PROT_READ|PROT_WRITE,MAP_PRIVATE|MAP_ANON,0,0);
mprotect(buf,PSIZE,PROT_NONE);
mprotect(buf+BSIZE-PSIZE,PSIZE,PROT_NONE);
buf+=PSIZE;
f=fopen(LOGFILENAME,"a");
sessionlog("start");
respond("220 server.name.is.invalid SMTP This is not a mail server");
fflush(stdout);
while (gets(buf)) {
removenl(buf);
log(buf);
if (!strncmp(buf,"QUIT",4)) {
struct timespec ts;
ts.tv_sec=0;
ts.tv_nsec=30000000;
respond("221 Nå, så smuttede du endelig");
nanosleep(&ts,NULL);
sessionlog("QUIT");
return 0;
}
if (!strncmp(buf,"DATA",4)) {
respond("354 Skriv en masse spam, og afslut med \".\" på en linie for sig selv");
while ((buf[0]!='.')||(buf[1]>32)) {
   if (!gets(buf)) {
    sessionlog("broken in DATA");
    return 0;
   }
   removenl(buf);
   log(buf);
}
}
respond("250 Hvad skal jeg sige?");
}
sessionlog("broken");
return 0;
}

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

> 7601 styks kunne jeg tælle det op til, da det langt om længe fik
> en ende.

Det er jo smukt.

>> Hvad er det egentlig for noget software du bruge til din
>> honeypot? Noget hjemmelavet, ikke?
>
> Jo, det er noget hjemmelavet.

Pæn kode - tak fordi du viser den frem. Jeg kender ikke selv sproget,
men det er C, er det ikke?

> Det viste sig, at jeg har et lille
> problem med flere samtidige SMTP sessioner, linierne fra de
> forskellige sessioner bliver ganske enkelt blandet sammen. Da jeg
> skrev koden, var jeg ikke klar over, at spammere bruger tre SMTP
> sessioner samtidig.

1, 3, eller n. Det kommer vist helt an på hvilken spamware der bliver
anvendt, svjv.

> Måske skal jeg bare udskrive pid i starten af
> hver linie:

Det lyder bestemt som den nemmeste måde at gøre det på, men det ved du
nok bedre end jeg.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

"Niels Callesøe" wrote:
>
> Kasper Dupont wrote:
>
> >> Hvad er det egentlig for noget software du bruge til din
> >> honeypot? Noget hjemmelavet, ikke?
> >
> > Jo, det er noget hjemmelavet.
>
> Pæn kode - tak fordi du viser den frem. Jeg kender ikke selv sproget,
> men det er C, er det ikke?

Ja, det er C.

>
> > Det viste sig, at jeg har et lille
> > problem med flere samtidige SMTP sessioner, linierne fra de
> > forskellige sessioner bliver ganske enkelt blandet sammen. Da jeg
> > skrev koden, var jeg ikke klar over, at spammere bruger tre SMTP
> > sessioner samtidig.
>
> 1, 3, eller n. Det kommer vist helt an på hvilken spamware der bliver
> anvendt, svjv.

Jo, det kommer naturligvis an på spamwaren. Det har været tre
sessioner i to tilfælde, jeg har observeret. I et tredje tilfælde
blev der startet og stoppet sessioner hele tiden, så jeg opgav at
tæle, hvor mange samtidige sessioner der maksimalt var.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:
> #include <stdio.h>
> #include <string.h>
> #include <time.h>
> #include <unistd.h>
> #include <sys/mman.h>
> #include <sys/socket.h>
> #include <netinet/in.h>
> #include <arpa/inet.h>
[..]

Hvis jeg rooter din box gennem et af de huller i din kode her og
opgraderer dit OS for dig, giver du mig saa en chokoladeis? :)

Jeg talte et par overflows og et par format string ting.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@mongers.org> wrote in message
news:3d261af5$0$13946$edfadb0f@dspool01.news.tele.dk...
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> > #include <stdio.h>
> > #include <string.h>
> > #include <time.h>
> > #include <unistd.h>
> > #include <sys/mman.h>
> > #include <sys/socket.h>
> > #include <netinet/in.h>
> > #include <arpa/inet.h>
> [..]
>
> Hvis jeg rooter din box gennem et af de huller i din kode her og
> opgraderer dit OS for dig, giver du mig saa en chokoladeis? :)
>
> Jeg talte et par overflows og et par format string ting.

Kan du så ikke lige smide nogle links herind til "sikker programming"?
Sidst kom du med:
http://community.core-sdi.com/~juliano/
http://community.core-sdi.com/~gera/InsecureProgramming/
har du flere?

mvh
db

---

Daniel Blankensteiner <db@traceroute.dk> wrote:
> Kan du så ikke lige smide nogle links herind til "sikker programming"?
> Sidst kom du med:
> http://community.core-sdi.com/~juliano/
> http://community.core-sdi.com/~gera/InsecureProgramming/
> har du flere?

Naesten alt under 'Quality Software Development' og 'C Programming' paa
min recommended side;

http://a.area51.dk/recommended

samt boegerne naevnt i OSS'en:

http://a.area51.dk/sikkerhed/videre

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> > #include <stdio.h>
> > #include <string.h>
> > #include <time.h>
> > #include <unistd.h>
> > #include <sys/mman.h>
> > #include <sys/socket.h>
> > #include <netinet/in.h>
> > #include <arpa/inet.h>
> [..]
>
> Hvis jeg rooter din box gennem et af de huller i din kode her og
> opgraderer dit OS for dig, giver du mig saa en chokoladeis? :)

Nej, men hvis du nøjes med at smide en fil i roden, der fortæller,
at det lykkedes, skal du nok få en chokoladeis, næste gang du
kommer til Århus.

>
> Jeg talte et par overflows og et par format string ting.

Nå, det tror du.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Alex Holst wrote:
>
> Jeg talte et par overflows og et par format string ting.

Hej Alex, hvornår fortæller du os, hvilke fejl du mener at
kunne se? Jeg ser absolut ingen fejl, og jeg er ved at gå
til af nysgerrighed.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Alex Holst wrote:
>>
>> Jeg talte et par overflows og et par format string ting.
>
> Hej Alex, hvornår fortæller du os, hvilke fejl du mener at
> kunne se? Jeg ser absolut ingen fejl, og jeg er ved at gå
> til af nysgerrighed.

Sorry, totalt tidsmangel (jeg var til ORDB hackathon i Aarhus her i
weekenden, og i morgen skal jeg paa ferie). Jeg skal nok vende tilbage
til det naar jeg har mulighed for at bruge lidt tid paa det.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Kasper Dupont wrote:
> Alex Holst wrote:
>
>>Jeg talte et par overflows og et par format string ting.
>
>
> Hej Alex, hvornår fortæller du os, hvilke fejl du mener at
> kunne se? Jeg ser absolut ingen fejl, og jeg er ved at gå
> til af nysgerrighed.

man gets, kik under BUGS.


Eksempel,

bash-2.05$ echo 10 4096 42 \* ^ n | dc | tr -d '\n\\' | ./a.out
220 server.name.is.invalid SMTP This is not a mail server
Segmentation fault
bash-2.05$

---

"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:
>
> man gets, kik under BUGS.

> Eksempel,
>
> bash-2.05$ echo 10 4096 42 \* ^ n | dc | tr -d '\n\\' | ./a.out
> 220 server.name.is.invalid SMTP This is not a mail server
> Segmentation fault
> bash-2.05$

Men det er netop meningen, hvis jeg læser koden rigtigt. Din buffer
overflow overflower ganske rigtigt en buffer, men den bliver fanget af
memory-manageren, da siderne før og efter bufferen er sat til ikke at
måtte skrives til. Det er det der giver seg-faulten, ikke et
efterfølgende forsøg på at udføre den overskrevne kode (hvilket også
er sværere end normalt, da bufferen ligger i heapen og ikke på
stakken).

D.v.s., du kan få lov til at crashe programmet, men du kan ikke
udnytte det til noget, og da programmet skal køres af inetd,
og derfor startes forfra ved hver forbindelse, tæller det ikke engang
som et DoS-angreb.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgment merely degrades the spirit divine.'

---

Lasse Reichstein Nielsen <lrn@hotpop.com> wrote:
> Det er det der giver seg-faulten, ikke et efterfølgende forsøg på at
> udføre den overskrevne kode (hvilket også er sværere end normalt, da
> bufferen ligger i heapen og ikke på stakken).

Jeg havde helt overset at Kasper brugte heap da jeg brugte 2 sekunder
paa at scanne koden og postede mit oprindelige indlaeg. Heap overflows
er lige saa mulige som stack overflows, men af en eller anden grund er
kendskabet til dem ikke udbredte. w00w00 har en udmaerket heap overflow
tutorial paa deres site. Selv i Writing Secure Code spekuleres der over
hvorfor heap overflows bliver forbigaaet.

Problemet her er, at Kasper bruger et funktionskald som under andre
omstaendigheder ville have andre konsekvenser. Og dette funktionskald
burde ideelt vaere forbudt af ren policy, i stedet for at bruge tid paa
at diskutere om koden kan udnyttes eller ej.

Jeg gad godt vide hvorfor Kasper benyttede en heap metode med gets i
stedet for at bruge (mere) sikre funktioner.

Jeg har godt set traaden omkring bevisbaerende kode, men jeg synes
egenligt verdenen har rigeligt med vaerktoejer til at loese
sikkerhedsproblemer med -- folk bruger dem blot ikke rigtigt.
Problemerne med f.eks. C er saa ufatteligt veldokumenterede, men
alligevel laves de samme fejl igen og igen.

Nu sover jeg lige i 4 dage oven paa min haarde ferie.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:
>
> Lasse Reichstein Nielsen <lrn@hotpop.com> wrote:
> > Det er det der giver seg-faulten, ikke et efterfølgende forsøg på at
> > udføre den overskrevne kode (hvilket også er sværere end normalt, da
> > bufferen ligger i heapen og ikke på stakken).
>
> Jeg havde helt overset at Kasper brugte heap da jeg brugte 2 sekunder
> paa at scanne koden og postede mit oprindelige indlaeg. Heap overflows
> er lige saa mulige som stack overflows, men af en eller anden grund er
> kendskabet til dem ikke udbredte.

Sikkerheden ligger ikke i, at bruge heap, men derimod
i at beskytte siderne før og efter bufferen. Dermed
er det ganske umuligt at udnytte et overflow.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk