|
| angreb på min server? Fra : John |
Dato : 13-06-02 19:56 |
|
Hvad prøver han på?
18:15:11 80.197.129.7 GET /scripts/root.exe 404
18:15:11 80.197.129.7 GET /MSADC/root.exe 404
18:15:11 80.197.129.7 GET /c/winnt/system32/cmd.exe 404
18:15:12 80.197.129.7 GET /d/winnt/system32/cmd.exe 404
18:15:12 80.197.129.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
18:15:12 80.197.129.7 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
18:15:12 80.197.129.7 GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
18:15:13 80.197.129.7 GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
18:15:13 80.197.129.7 GET /scripts/..Á../winnt/system32/cmd.exe 404
18:15:13 80.197.129.7 GET /scripts/winnt/system32/cmd.exe 404
18:15:15 80.197.129.7 GET /winnt/system32/cmd.exe 404
18:15:15 80.197.129.7 GET /winnt/system32/cmd.exe 404
18:15:15 80.197.129.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
18:15:16 80.197.129.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
18:15:16 80.197.129.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
18:15:16 80.197.129.7 GET /scripts/..%2f../winnt/system32/cmd.exe 404
--
MVH
John K Hansen
dk.edb.sikkerhed@jkhansen.dk
www.jkhansen.dk
| |
D3nnis (13-06-2002)
| Kommentar Fra : D3nnis |
Dato : 13-06-02 19:58 |
|
"John" <hansenjnospam@tdcadsl.dk> wrote in message
news:3d08ea7b$0$80417$edfadb0f@dspool01.news.tele.dk...
> Hvad prøver han på?
Ved ikke helt, men han er da vist gået forkert i byen!
Mvh
Dennis
--
Parabol, Selector, Hex filer?
www.sel.h4f.dk <-- Den danske "pirat" side
| |
Christian E. Lysel (13-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-06-02 20:04 |
|
D3nnis wrote:
>>Hvad prøver han på?
> Ved ikke helt, men han er da vist gået forkert i byen!
Den kan ikke være gået helt galt i byen, da man af logfilen kan se det
er en IIS server (se status koderne).
Det er en orm, og du er nr. 30 der spørger, prøv at søge tilbage i
arktiverne, evt. kan google hjælpe.
| |
John (13-06-2002)
| Kommentar Fra : John |
Dato : 13-06-02 21:15 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D08EC89.5030107@example.net...
> D3nnis wrote:
> >>Hvad prøver han på?
> > Ved ikke helt, men han er da vist gået forkert i byen!
>
> Den kan ikke være gået helt galt i byen, da man af logfilen kan se det
> er en IIS server (se status koderne).
>
>
> Det er en orm, og du er nr. 30 der spørger, prøv at søge tilbage i
> arktiverne, evt. kan google hjælpe.
Nu fik han jo ikke held af sit foretagende.....undrede mig bare....og jeg er
ikke nummer 30 der spørger.....har ikke set spørgsmålet denne måned...
Jeg er godt klar over det er en ISS server, der er jo li´som min, ikke?
Og kan også godt læse statuskoder....og kan se han ikke havde held med sit
foretagende...ville bare gerne vide, _hvad_ det er han gerne vil foretage
sig...
--
MVH
John K Hansen
dk.edb.sikkerhed@jkhansen.dk
www.jkhansen.dk
| |
Christian E. Lysel (13-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-06-02 21:43 |
|
John wrote:
> Nu fik han jo ikke held af sit foretagende.....undrede mig bare....og jeg er
Er du sikker?
> ikke nummer 30 der spørger.....har ikke set spørgsmålet denne måned...
Undskyld jeg huskede forkert, du er nummer 40, nedestående søgning giver
39 hit.
http://groups.google.com/groups?q=root.exe+dk.edb.sikkerhed
> Jeg er godt klar over det er en ISS server, der er jo li´som min, ikke?
Jo, men der var en der påstod at angriberen var gået galt i byen,
hvilket jo ikke er tilfældet hvis det er en IIS.
> Og kan også godt læse statuskoder....og kan se han ikke havde held med sit
> foretagende...ville bare gerne vide, _hvad_ det er han gerne vil foretage
> sig...
Det er en orm, der ligesom en virus prøver at sprede sig. For en nærmere
forklaring prøv ovenstående søgning i google.
| |
Daniel Blankensteine~ (13-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 13-06-02 21:46 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
message news:3D0903CF.3020207@example.net...
> > ikke nummer 30 der spørger.....har ikke set spørgsmålet denne
måned...
>
> Undskyld jeg huskede forkert, du er nummer 40, nedestående søgning
giver
> 39 hit.
>
> http://groups.google.com/groups?q=root.exe+dk.edb.sikkerhed
LOL
mvh
db
| |
Christian E. Lysel (13-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-06-02 21:55 |
|
Daniel Blankensteiner wrote:
> LOL
De 39 tråde fordeler sig på ialt 171 artikler.
I alle nyhedsgrupperne er der 5.720 tråde.
Endvidere finder google 26.100 websites omkring dette emne.
Hvorfor gør man ikke en indsats for at søge information, før man
spørger, svaret ligger derude.
Jeg kan forstå at man spørger, hvis man ikke kan forstå hvad man har fundet.
| |
John (14-06-2002)
| Kommentar Fra : John |
Dato : 14-06-02 05:19 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0906BF.8080508@example.net...
> Daniel Blankensteiner wrote:
> > LOL
>
> De 39 tråde fordeler sig på ialt 171 artikler.
>
> I alle nyhedsgrupperne er der 5.720 tråde.
>
> Endvidere finder google 26.100 websites omkring dette emne.
>
>
> Hvorfor gør man ikke en indsats for at søge information, før man
> spørger, svaret ligger derude.
>
> Jeg kan forstå at man spørger, hvis man ikke kan forstå hvad man har
fundet.
Jeg brugte ikke google, til at søge ,det ku jeg ha gjort, men valgte blot at
lede emne listerne igennem. Dér var indlæggene ikke lette at finde. Iøvrigt
er dit indlæg blot støj, så hvis du vil forsætte, så futter vi til :
news:dk.admin.netikette.
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
Bo Simonsen (14-06-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 14-06-02 11:48 |
|
On Fri, 14 Jun 2002 06:19:26 +0200, John wrote:
> Jeg brugte ikke google, til at søge ,det ku jeg ha gjort, men valgte
> blot at lede emne listerne igennem. Dér var indlæggene ikke lette at
> finde. Iøvrigt er dit indlæg blot støj, så hvis du vil forsætte, så
> futter vi til : news:dk.admin.netikette.
Nej det er ikke støj, nærmere dig der skulle lære lidt netikette. Før man
spørger, søger man altid på google/google groups, da personer som os der
vil hjælpe folk, ikke gider at skrive det samme 30 gange på en dag.
Prøv at læs denne guide, så forstår du nok hvad jeg / christian mener:
http://www.tuxedo.org/~esr/faqs/smart-questions.html
--
Med venlig hilsen
Bo Simonsen
http://xerxes.geekworld.dk/~paltas/
Join the GNU generation
| |
John (14-06-2002)
| Kommentar Fra : John |
Dato : 14-06-02 14:26 |
|
"Bo Simonsen" <paltas@geekworld.dk> skrev i en meddelelse
news:pan.2002.06.14.12.48.25.849038.371@geekworld.dk...
> On Fri, 14 Jun 2002 06:19:26 +0200, John wrote:
> Nej det er ikke støj, nærmere dig der skulle lære lidt netikette. Før man
> spørger, søger man altid på google/google groups, da personer som os der
> vil hjælpe folk, ikke gider at skrive det samme 30 gange på en dag.
>
> Prøv at læs denne guide, så forstår du nok hvad jeg / christian mener:
> http://www.tuxedo.org/~esr/faqs/smart-questions.html
>
Det passer ikke. Nok er jeg ny her på edb.sikkerhed, men altså ikke i
usenet.
Og iøvrigt er der ingen der har svaret på spørgsmålet, men der er i stedet
opstået en del støj, hvilket jeg beklager.
Og skal vi _så_ futte????
FUT: news:dk.admin.netikette
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
N/A (16-06-2002)
| Kommentar Fra : N/A |
Dato : 16-06-02 11:20 |
|
| |
John (16-06-2002)
| Kommentar Fra : John |
Dato : 16-06-02 11:20 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0C47CA.4000303@example.net...
>
>>
> Som sagt sletter jeg default websitet, og opretter et nyt websiter med
> det hostnavn det skal have.
Min IIS gi'r ikke mulighed for at slette standardwebstedet.....men jeg kører
det inaktivt, og har oprettet underwebsteder, med deres egen
sikkerhedspolitikker.
SMTP og FTP er ligeledes inaktive.
> Derefter slår jeg alt fra i det nye website jeg kan slå fra som ikke
> skal bruges.
Samme her..
> Det nye website placeres på en selvstændig partition.
Ikke her...burde vel ikke være nødvendigt ved NTFS???
> Derefter patcher jeg webserveren, således den kører i den nyeste software.
På plads..
> Hvis jeg er rigtig hård, sletter jeg endvidere de DDL'er som jeg ikke
> skal bruge.
Dér ville jeg komme på usikker grund..
> Hvordan beskytter du din webserver?
>
> Hvordan beskytter du din server, har du en firewall til at beskytte den,
> eller har du hardnet den?
Ud over firewall, bruger jeg NTFS´s filsystem, som sikkerhed.......alle
rettigheder på standardwebstedet anulleret. Nye rettigheder lavet specifikt
for hvert underwebsted .
Men har i øvrigt en lille pudsighed dér. Sharepoint rapportere at
sikkerheden kunne være bedre på "/" (standardwebstedet), men ingen problemer
på underwebstederne f.eks "/jkhansen". Og rapportere ok efter udbedring, for
så at melde samme problem næste gang.....en lille pudsighed..
> Hvad med backup?
På plads....
--
MVH
John K Hansen
dk.edb.sikkerhed@jkhansen.dk
www.jkhansen.dk
| |
Christian E. Lysel (16-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-06-02 20:17 |
|
John wrote:
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
> meddelelse news:3D0C47CA.4000303@example.net...
>
>>Som sagt sletter jeg default websitet, og opretter et nyt websiter med
>>det hostnavn det skal have.
>
>
> Min IIS gi'r ikke mulighed for at slette standardwebstedet.....men jeg kører
> det inaktivt, og har oprettet underwebsteder, med deres egen
Du højre klikker på default website, og vælger delete.
> sikkerhedspolitikker.
> SMTP og FTP er ligeledes inaktive.
>
>
>>Derefter slår jeg alt fra i det nye website jeg kan slå fra som ikke
>>skal bruges.
>
>
> Samme her..
Godt.
>>Det nye website placeres på en selvstændig partition.
>
>
> Ikke her...burde vel ikke være nødvendigt ved NTFS???
Jo, nogle huller vi har set, udnytte man kan sende argumenter som:
http://website/../../../win.ini
Hvilket er det samme som c:\inetpub\www\..\..\..\win.ini som er det
samme som c:\win.ini
>>Derefter patcher jeg webserveren, således den kører i den nyeste software.
> På plads..
Godt.
>>Hvis jeg er rigtig hård, sletter jeg endvidere de DDL'er som jeg ikke
>>skal bruge.
> Dér ville jeg komme på usikker grund..
>
>
>>Hvordan beskytter du din webserver?
>>
>>Hvordan beskytter du din server, har du en firewall til at beskytte den,
>>eller har du hardnet den?
>
>
> Ud over firewall, bruger jeg NTFS´s filsystem, som sikkerhed.......alle
> rettigheder på standardwebstedet anulleret. Nye rettigheder lavet specifikt
> for hvert underwebsted .
>
> Men har i øvrigt en lille pudsighed dér. Sharepoint rapportere at
> sikkerheden kunne være bedre på "/" (standardwebstedet), men ingen problemer
> på underwebstederne f.eks "/jkhansen". Og rapportere ok efter udbedring, for
> så at melde samme problem næste gang.....en lille pudsighed..
Hvad går problemet på?
>>Hvad med backup?
> På plads....
Hvordan er det sat op, og hvor tit og af hvad?
| |
John (16-06-2002)
| Kommentar Fra : John |
Dato : 16-06-02 21:12 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0CE436.6090404@example.net...
> John wrote:
>> Du højre klikker på default website, og vælger delete.
>
Nej, den mulighed forefindes ikke!
| |
John (16-06-2002)
| Kommentar Fra : John |
Dato : 16-06-02 21:16 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0CE436.6090404@example.net...
> > Men har i øvrigt en lille pudsighed dér. Sharepoint rapportere at
> > sikkerheden kunne være bedre på "/" (standardwebstedet), men ingen
problemer
> > på underwebstederne f.eks "/jkhansen". Og rapportere ok efter udbedring,
for
> > så at melde samme problem næste gang.....en lille pudsighed..
>
> Hvad går problemet på?
>
Tja det er jo det pudsige....det fortæller teamservices nemlig
ikke....fortæller blot at sikkerheden kan forbedres...fjollet.
| |
Palle Hans Jensen (17-06-2002)
| Kommentar Fra : Palle Hans Jensen |
Dato : 17-06-02 22:32 |
|
Bo Simonsen, for lige at citere noget af det du skrev i
dk.edb.sikkerhed:
> Nej det er ikke støj, nærmere dig der skulle lære lidt
> netikette. Før man spørger, søger man altid på google/google
> groups, da personer som os der vil hjælpe folk, ikke gider at
> skrive det samme 30 gange på en dag.
What?! Står det nu i netiketten at man SKAL søge på Google før man
spørger om noget herinde? Ehh... Hvad synes du selv?
Lyder som en stille lynch af person. Eller er der nogle der har brug
for at hævde sig? Tsk.. Trist.
| |
Andreas Plesner Jaco~ (17-06-2002)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 17-06-02 23:36 |
|
In article <Xns9230EF89914C6diesellazydk@193.88.15.213>, Palle Hans Jensen wrote:
>
>> Nej det er ikke støj, nærmere dig der skulle lære lidt
>> netikette. Før man spørger, søger man altid på google/google
>> groups, da personer som os der vil hjælpe folk, ikke gider at
>> skrive det samme 30 gange på en dag.
>
> What?! Står det nu i netiketten at man SKAL søge på Google før man
> spørger om noget herinde? Ehh... Hvad synes du selv?
Det er almindelig kotume at man opsøger noget information inden man
stiller sine spørgsmål. Jeg kan ikke huske om ESR's artikel om dette har
været nævnt i denne tråd endnu, men:
http://www.tuxedo.org/~esr/faqs/smart-questions.html
--
Andreas Plesner Jacobsen | Force has no place where there is need of skill.
| -- Herodotus
| |
Peter Brodersen (17-06-2002)
| Kommentar Fra : Peter Brodersen |
Dato : 17-06-02 23:53 |
| | |
Palle Hans Jensen (18-06-2002)
| Kommentar Fra : Palle Hans Jensen |
Dato : 18-06-02 10:18 |
|
Andreas Plesner Jacobsen wrote in
news:slrnagsp3m.ad4.apj@slartibartfast.nerd.dk:
>> What?! Står det nu i netiketten at man SKAL søge på Google før
>> man spørger om noget herinde? Ehh... Hvad synes du selv?
>
> Det er almindelig kotume at man opsøger noget information inden
> man stiller sine spørgsmål. Jeg kan ikke huske om ESR's artikel
> om dette har været nævnt i denne tråd endnu, men:
> http://www.tuxedo.org/~esr/faqs/smart-questions.html
Jeg ved det. Men hvis vi antager at manden har kigget og ikke fundet
noget?! Hvis vi ligeledes antager at alle informationer er
tilgængelige på nettet, skal der så ikke stå i netiketten at
spørgsmål ikke er tilladt? Hvem bestemmer hvornår person X har ledt
længe nok? Netikette drejer sig vist også om at være bevidst om at
alle brugere på usenettet er forskellige og ikke allestedsnærværende
supermænd som visse andre gerne vil være.
Jeg ved godt det er at sætte tingene på en spids men jeg synes nogle
gange folk er liiige kvikke nok til at være ude med riven. Tolerence
er sgu efterhånden en mangelvare på usenettet!
FUT: dk.admin.netikette
--
Palle
| |
Povl H. Pedersen (13-06-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 13-06-02 21:01 |
|
In article <3d08ea7b$0$80417$edfadb0f@dspool01.news.tele.dk>,
"John" <hansenjnospam@tdcadsl.dk> wrote:
> Hvad pr?ver han p??
>
> 18:15:11 80.197.129.7 GET /scripts/root.exe 404
....
Han checker om du har installeret dine service packs og hotfixes, og om
du har husket at lave IIS lockdown.
| |
Daniel Blankensteine~ (13-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 13-06-02 21:14 |
|
"Povl H. Pedersen" <nospam@home.terminal.dk> wrote in message
news:nospam-19705D.22012213062002@news.cybercity.dk...
> > Hvad pr?ver han p??
> >
> > 18:15:11 80.197.129.7 GET /scripts/root.exe 404
> Han checker om du har installeret dine service packs og hotfixes, og
om
> du har husket at lave IIS lockdown.
Det var da flinkt af ham
mvh
db
| |
John (13-06-2002)
| Kommentar Fra : John |
Dato : 13-06-02 21:24 |
|
"Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
news:nospam-19705D.22012213062002@news.cybercity.dk...
> In article <3d08ea7b$0$80417$edfadb0f@dspool01.news.tele.dk>,
> "John" <hansenjnospam@tdcadsl.dk> wrote:
>
> > Hvad pr?ver han p??
> >
> > 18:15:11 80.197.129.7 GET /scripts/root.exe 404
> ...
>
> Han checker om du har installeret dine service packs og hotfixes, og om
> du har husket at lave IIS lockdown.
Ok, tak......gider du fortælle hvad IIS lockdown er? Og bør jeg være
bekymret?
--
MVH
John K Hansen
dk.edb.sikkerhed@jkhansen.dk
www.jkhansen.dk
| |
Povl H. Pedersen (13-06-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 13-06-02 22:08 |
|
In article <3d08ff23$0$80423$edfadb0f@dspool01.news.tele.dk>,
"John" <hansenjnospam@tdcadsl.dk> wrote:
> "Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
> news:nospam-19705D.22012213062002@news.cybercity.dk...
> > In article <3d08ea7b$0$80417$edfadb0f@dspool01.news.tele.dk>,
> > "John" <hansenjnospam@tdcadsl.dk> wrote:
> >
> > > Hvad pr?ver han p??
> > >
> > > 18:15:11 80.197.129.7 GET /scripts/root.exe 404
> > ...
> >
> > Han checker om du har installeret dine service packs og hotfixes, og om
> > du har husket at lave IIS lockdown.
>
> Ok, tak......gider du fortælle hvad IIS lockdown er? Og bør jeg være
> bekymret?
Søg hos Microsoft, eller brug deres support. Det er et nyt værktøj der
gør en Internet Information Server mindre usikker.
| |
John (14-06-2002)
| Kommentar Fra : John |
Dato : 14-06-02 05:15 |
|
"Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
news:nospam-EA4B55.23073513062002@news.cybercity.dk...
>
> Søg hos Microsoft, eller brug deres support. Det er et nyt værktøj der
> gør en Internet Information Server mindre usikker.
Tak...
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
Martin Moller Peders~ (13-06-2002)
| Kommentar Fra : Martin Moller Peders~ |
Dato : 13-06-02 22:25 |
|
In <3d08ff23$0$80423$edfadb0f@dspool01.news.tele.dk> "John" <hansenjnospam@tdcadsl.dk> writes:
>"Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
>news:nospam-19705D.22012213062002@news.cybercity.dk...
>> In article <3d08ea7b$0$80417$edfadb0f@dspool01.news.tele.dk>,
>> "John" <hansenjnospam@tdcadsl.dk> wrote:
>>
>> > Hvad pr?ver han p??
>> >
>> > 18:15:11 80.197.129.7 GET /scripts/root.exe 404
>> ...
>>
>> Han checker om du har installeret dine service packs og hotfixes, og om
>> du har husket at lave IIS lockdown.
>Ok, tak......gider du fortælle hvad IIS lockdown er? Og bør jeg være
>bekymret?
Hvis du koerer IIS, mener jeg generelt at du boer bekymret.
Laes f.x.
http://slashdot.org/articles/02/06/13/0417206.shtml?tid=128
Microsoft har kendt endnu et hul i IIS i over 2 maaneder uden at lave
et patch.
/Martin
| |
Christian E. Lysel (13-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-06-02 22:32 |
|
Martin Moller Pedersen wrote:
> Microsoft har kendt endnu et hul i IIS i over 2 maaneder uden at lave
> et patch.
Hvad er problemet. Bruger du HTR?
Man slår da HTR fra som standard, eller retter sagt man slår alt fra som
man ikke bruger, og det man bruger skal man overveje nøje.
IIS tager ca. 1 min at sikre: slet default sitet, opret et nyt site i et
tomt katalog, fjern diverse filtre/og-andet-godt der ikke bruges, patch
serveren op.
Det største sikkerhedshul i IIS'en er default websitet. Jeg fatter ikke
hvorfor folk bygger videre på default websitet.
| |
F.Larsen (13-06-2002)
| Kommentar Fra : F.Larsen |
Dato : 13-06-02 22:46 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D090F40.7080905@example.net...
>
> Det største sikkerhedshul i IIS'en er default websitet. Jeg fatter ikke
> hvorfor folk bygger videre på default websitet.
Jeg er helt enig - bruger helt samme fremgangmåde... default website har en
bunke mappings hvorafflere er "unsynlige"
Har rodet lidt med ADSI og her er et udtræk af nogle af de mappings som er
foretaget på default website:
Root: C:\Inetpub\wwwroot
Scripts: C:\Inetpub\scripts
IISHelp: c:\winnt\help\iishelp
IISAdmin: C:\WINNT\System32\inetsrv\iisadmin
IISSamples: C:\Inetpub\iissamples
MSADC: c:\program files\common files\system\msadc
Printers: C:\WINNT\web\printers
--
Flemming
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/AlphaPal8045T/index.htm
Asus A7V266-E.: http://hjem.get2net.dk/Quake2/LowNoise2/A7V266-E.htm
| |
Peder Vendelbo Mikke~ (14-06-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 14-06-02 00:42 |
| | |
Martin Moller Peders~ (14-06-2002)
| Kommentar Fra : Martin Moller Peders~ |
Dato : 14-06-02 13:33 |
|
In <3D090F40.7080905@example.net> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:
>Martin Moller Pedersen wrote:
>> Microsoft har kendt endnu et hul i IIS i over 2 maaneder uden at lave
>> et patch.
>Hvad er problemet. Bruger du HTR?
Jeg kunne aldrig finde paa at bruge IIS til noget som helst.
>Det største sikkerhedshul i IIS'en er default websitet. Jeg fatter ikke
>hvorfor folk bygger videre på default websitet.
Nej, det stoerste hul er at Microsoft ikke laver patches hurtigt.
/Martin
| |
Christian E. Lysel (15-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 15-06-02 00:05 |
|
Martin Moller Pedersen wrote:
>>Det største sikkerhedshul i IIS'en er default websitet. Jeg fatter ikke
>>hvorfor folk bygger videre på default websitet.
> Nej, det stoerste hul er at Microsoft ikke laver patches hurtigt.
Et usikkert ASP script i et demo default website, har intet med patches
at gøre.
Mange af patchene kan undværeres hvis man har hardnet sin webserver
ordenligt nok.
| |
Peder Vendelbo Mikke~ (14-06-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 14-06-02 00:49 |
| | |
Daniel Blankensteine~ (14-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 14-06-02 12:08 |
|
"John" <hansenjnospam@tdcadsl.dk> wrote in message
news:3d08ff23$0$80423$edfadb0f@dspool01.news.tele.dk...
> Ok, tak......gider du fortælle hvad IIS lockdown er? Og bør jeg være
> bekymret?
Du kører windows med IIS, du burde være så bekymret at du ikke kan sove
om natten. ;-P
Ellers synes jeg du skal huske på de to regler omkring firewalls:
Installer ikke firewalls, når du ikke har brug for det
Installer ikke firewalls, hvis du ikke kan forstå dine logfiler.
www.ntbugtraq.com
http://ntsecurity.nu/
http://www.nttoolbox.com/
http://www.ntsecurity.net/
mvh
db
| |
Dennis Jakobsen (14-06-2002)
| Kommentar Fra : Dennis Jakobsen |
Dato : 14-06-02 17:47 |
|
Povl H. Pedersen wrote:
> In article <3d08ea7b$0$80417$edfadb0f@dspool01.news.tele.dk>,
> "John" <hansenjnospam@tdcadsl.dk> wrote:
>
>
>>Hvad pr?ver han p??
>>
>>18:15:11 80.197.129.7 GET /scripts/root.exe 404
>
> ...
>
> Han checker om du har installeret dine service packs og hotfixes, og om
> du har husket at lave IIS lockdown.
MUAHAHH.. det var sjovt.. 'han' prøver også hele tiden på min Apache
(linux) server.. sjovt nok bliver det klassificeret som et
Web-Application-Attack (WEB-IIS CodeRed v2 root.exe access) hos mig..
det var dog den mildeste måde man kunne beskrive en Orm på.. 10 point
til dig.. :)
| |
RasmusT (15-06-2002)
| Kommentar Fra : RasmusT |
Dato : 15-06-02 07:51 |
|
Hej John
Det er et klassisk web server (iis) angreb, og viser 2. del af
reconiseringsfasen. Dvs. vedkommende har i første omgang fundet ud af at du
har en web server kørende og prøver nu at køre en liste over kendte iis
svagheder igennem (som cve-2001-0333, cve-2001-0884, code red bagdør m.m.,
se cve.mitre.org)
Det er højt sandsynligt IKKE en orm (som nogle kloge hoveder så pænt
fortæller dig her i gruppen), orm som f.eks. nimda vil forsøge at installere
en bagdør vha. rq´s som:
a.. /MSADC
a.. /c
a.. /d
a.. /scripts/..%255c..
(...a lot of rq´s...)
a.. /_mem_bin/..%255c../..%255c../..%255c..
a.. /winnt/system32/cmd.exe?/c+
a.. /root.exe?/c+
Her er der derimod tale om en der LEDER efter en root.exe hvilket
selvfølgelig er noget ganske andet. Der findes massere af Script kiddie
programmer der kan hentes frit på nettet som kan køre sådanne lister
igennem. Det der her kan se bekymrende ud er:
18:15:12 80.197.129.7 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
Her bliver ikke retuneret den sædvanlige 404 - Requested URL not found, men
derimod en 500 - ukendt server fejl, hvilket kunne tyde på at vedkommende
har fundet en vej ind. Kig dine resterende logs igennem, fase 3. er som
regel et forsøg på at få et overblik over hvilken drev der er tilgængelige,
dvs cmd.exe+c,cmd.exe+d, osv.
Venligst
Rasmus T.
| |
Christian E. Lysel (15-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 15-06-02 08:58 |
|
RasmusT wrote:
> Det er højt sandsynligt IKKE en orm (som nogle kloge hoveder så pænt
> fortæller dig her i gruppen), orm som f.eks. nimda vil forsøge at installere
> en bagdør vha. rq´s som:
Du er sikker på det ikke er ormen Nimda, angrebet kommer fra en net i
nærheden af Johns.
Nimda, som også er en orm, prøver først at se om den kan bruge bagdøren
fra CodeRed II, se mere på,
http://www.cert.org/advisories/CA-2001-26.html
CERT skriver ikke noget om de request du mener Nimba laver, her tænker
jeg specielt på request indeholdende "%255c".
Spørgsmålet er så om John har slået arguementer fra i sin webserver,
siden den ikke logger disse.
| |
John (15-06-2002)
| Kommentar Fra : John |
Dato : 15-06-02 09:22 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0AF37A.3060503@example.net...
> RasmusT wrote:
> CERT skriver ikke noget om de request du mener Nimba laver, her tænker
> jeg specielt på request indeholdende "%255c".
>
>
> Spørgsmålet er så om John har slået arguementer fra i sin webserver,
> siden den ikke logger disse.
Det gør jeg nu!!! ))
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
RasmusT (15-06-2002)
| Kommentar Fra : RasmusT |
Dato : 15-06-02 09:43 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D0AF37A.3060503@example.net...
> RasmusT wrote:
> > Det er højt sandsynligt IKKE en orm (som nogle kloge hoveder så pænt
> > fortæller dig her i gruppen), orm som f.eks. nimda vil forsøge at
installere
> > en bagdør vha. rq´s som:
>
> Du er sikker på det ikke er ormen Nimda, angrebet kommer fra en net i
> nærheden af Johns.
>
> Nimda, som også er en orm, prøver først at se om den kan bruge bagdøren
> fra CodeRed II, se mere på,
>
> http://www.cert.org/advisories/CA-2001-26.html
>
> CERT skriver ikke noget om de request du mener Nimba laver, her tænker
> jeg specielt på request indeholdende "%255c".
>
>
> Spørgsmålet er så om John har slået arguementer fra i sin webserver,
> siden den ikke logger disse.
Jeg har mine informationer fra trend´s side
( http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A&V
Sect=T), men agree, CERT vil nok være den fortrukne kilde.
Grunden til at jeg ikke mener at det er en orm, er at signaturen (så vidt
jeg kan se) ikke passer på de registrerede fingerprints (prøv af se nærmere
på det to logs), men nærmere ser ud som et udpluk. Dette mønster kunne tyde
på et decideret recon af serveren, sandsynligvis af et script kiddie
værktøj. Jeg vil dog ikke udelukke at der kan være tale om variant. Nogen
der kender denne??
| |
Christian E. Lysel (15-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 15-06-02 12:55 |
|
RasmusT wrote:
> værktøj. Jeg vil dog ikke udelukke at der kan være tale om variant. Nogen
> der kender denne??
Eller også kan det være en webserver, der ikke logger argumenter i URL'er.
| |
RasmusT (16-06-2002)
| Kommentar Fra : RasmusT |
Dato : 16-06-02 07:35 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D0B2B02.4070809@example.net...
> RasmusT wrote:
> > værktøj. Jeg vil dog ikke udelukke at der kan være tale om variant.
Nogen
> > der kender denne??
>
> Eller også kan det være en webserver, der ikke logger argumenter i URL'er.
>
Hvad mener du helt præcist?? (det er en iis server)
Venligst
Rasmus T
| |
Christian E. Lysel (16-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-06-02 09:11 |
|
RasmusT wrote:
>>Eller også kan det være en webserver, der ikke logger argumenter i URL'er.
> Hvad mener du helt præcist?? (det er en iis server)
Du kan sætte en hvilken som helst webserver til at logge forskellige
parametre, status kode, URL, argumenter i URL'en, tidspunkt, ectetera.
| |
RasmusT (16-06-2002)
| Kommentar Fra : RasmusT |
Dato : 16-06-02 09:54 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D0C4816.2060905@example.net...
> RasmusT wrote:
> >>Eller også kan det være en webserver, der ikke logger argumenter i
URL'er.
> > Hvad mener du helt præcist?? (det er en iis server)
>
> Du kan sætte en hvilken som helst webserver til at logge forskellige
> parametre, status kode, URL, argumenter i URL'en, tidspunkt, ectetera.
En hvilken som helst web-server?? Det var optimistisk sagt : ) Men om det er
tilfældet med den pågældende IIS opsætning kan vi jo kun spørge John om...
| |
John (16-06-2002)
| Kommentar Fra : John |
Dato : 16-06-02 11:08 |
|
"RasmusT" <coolrasmus@hotmail.com> skrev i en meddelelse
news:aehjot$7oc$1@news.cybercity.dk...
>
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
message
> news:3D0C4816.2060905@example.net...
> > RasmusT wrote:
> > >>Eller også kan det være en webserver, der ikke logger argumenter i
> URL'er.
> > > Hvad mener du helt præcist?? (det er en iis server)
> >
> > Du kan sætte en hvilken som helst webserver til at logge forskellige
> > parametre, status kode, URL, argumenter i URL'en, tidspunkt, ectetera.
>
> En hvilken som helst web-server?? Det var optimistisk sagt : ) Men om det
er
> tilfældet med den pågældende IIS opsætning kan vi jo kun spørge John om...
Det er ikke lykkedes mig at for IIS til at logge argumenter i URL....
--
MVH
John K Hansen
dk.edb.sikkerhed@jkhansen.dk
www.jkhansen.dk
| |
Peder Vendelbo Mikke~ (16-06-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 16-06-02 15:33 |
|
John skrev:
> Det er ikke lykkedes mig at for IIS til at logge argumenter i
> URL....
Start-knappen | Kør | iis.msc | fold træet ud | højreklik på webstedet
| vælg Properties | Active log format sættes til W3C Extended Log
File Format | knappen Properties | fanebladet Extended Properties |
afkryds Method.
Tryk på F1, hvis du vil have en forklaring til hvad de enkelte mulig-
heder betyder.
Jeg har ikke en dansk udgave af XP installeret, så du skal muligvis
oversætte det ovennævnte for at det passer med din udgave.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
John (16-06-2002)
| Kommentar Fra : John |
Dato : 16-06-02 20:29 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> skrev i en meddelelse
news:aeif7q.ak.1@mjoelner.aaks.aarhus.dk...
> John skrev:
>
> > Det er ikke lykkedes mig at for IIS til at logge argumenter i
> > URL....
>
> Start-knappen | Kør | iis.msc | fold træet ud | højreklik på webstedet
> | vælg Properties | Active log format sættes til W3C Extended Log
> File Format | knappen Properties | fanebladet Extended Properties |
> afkryds Method.
Method = argumenter? Det vidste jeg ikke. Det har jeg logget hele tiden
| egenskaber | udvidet W3C-logfilformat | egenskaber | udvidede egenskaber |
afkyds "Metode (cs-method)"
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
Christian E. Lysel (17-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 17-06-02 07:55 |
|
John wrote:
> Method = argumenter? Det vidste jeg ikke. Det har jeg logget hele tiden
Har du så glemt at inkludere det i din kopi af loggen til os.
Ellers må der være tale om en simple scanning af nogle der ikke ved hvad
de laver.
| |
Christian E. Lysel (17-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 17-06-02 08:18 |
|
John wrote:
> Method = argumenter? Det vidste jeg ikke. Det har jeg logget hele tiden
Ups, jeg læste ikke hvad du skrev.
Hvis du besøger dit site, med følgende URL:
http://sitename/test?argument=vaerdi
Bliver det så logget som:
GET /test
eller
GET /test?argument=vaerdi
Det sidste nævnte er logning af argumenter i URL'en
Af dit første indlæg kan jeg se du fx ikke logger: dato, HTTP version,
byte størrelse på svar, tid på svar, hostnavn og klient informationer.
Er dette rigtigt?
Min webserver logger (starten af loggen er indsat af syslog, dvs.
webserverens log er det efter [www]) fx følgende:
Feb 3 00:07:53 weebo [www] 62.61.140.19 62.211.134.178 - -
03/Feb/2002:00:07:53 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404
210 "-" "-"
Eller
Feb 4 16:41:00 weebo [www] spindelnet.dk 57.66.36.147 - -
[04/Feb/2002:16:41:00 +0100] "GET /?path=/security/ HTTP/1.1" 200 1986
" http://www.spindelnet.dk/?path=" "Mozilla/4.0 (compatible; MSIE 5.01;
Windows NT 5.0)" 0
Jeg tvivler på din "kun" logger:
18:15:11 80.197.129.7 GET /scripts/root.exe 404
| |
John (17-06-2002)
| Kommentar Fra : John |
Dato : 17-06-02 19:09 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0D8D22.8060408@example.net...
>>
>
> 18:15:11 80.197.129.7 GET /scripts/root.exe 404
jeg logger således.....
#Fields: time c-ip cs-username cs-method cs-uri-stem sc-status sc-bytes
cs(User-Agent) cs(Referer)
22:42:49 xxx.xxx.xxx.xxx- GET /jkhansen/ 302 297
Mozilla/4.0+(compatible;+MSIE+5.14;+Mac_PowerPC) http://www.jkhansen.dk/
(besøgendes IP slettet)
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
Christian E. Lysel (17-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 17-06-02 21:05 |
|
John wrote:
> #Fields: time c-ip cs-username cs-method cs-uri-stem sc-status sc-bytes
> cs(User-Agent) cs(Referer)
> 22:42:49 xxx.xxx.xxx.xxx- GET /jkhansen/ 302 297
> Mozilla/4.0+(compatible;+MSIE+5.14;+Mac_PowerPC) http://www.jkhansen.dk/
Hvis nu du besøger dit website med http:///test?test1=test2
hvad får du så i loggen?
| |
John (18-06-2002)
| Kommentar Fra : John |
Dato : 18-06-02 06:55 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0E40F1.3030807@example.net...
> Hvis nu du besøger dit website med http:///test?test1=test2
> hvad får du så i loggen?
02:47:14 172.183.231.3 - GET /default.ida 403 3499 - -
05:53:14 80.197.62.254 - GET /jkhansen/test 404 3433
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) -
05:53:35 80.197.62.254 - GET /test/ 302 313
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) -
05:53:35 80.197.62.254 - GET /test/index.htm 200 1090
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) -
05:53:35 80.197.62.254 - GET /test/links.htm 200 676
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) -
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
Christian E. Lysel (18-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 18-06-02 08:17 |
|
John wrote:
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
> meddelelse news:3D0E40F1.3030807@example.net...
>
>
>>Hvis nu du besøger dit website med http:///test?test1=test2
>>hvad får du så i loggen?
Så ovennævnte bliver omskrevet til nedestående?
Dvs. du kan ikke hvilke arumenter folk kalder dine scripts med.
> 05:53:14 80.197.62.254 - GET /jkhansen/test 404 3433
> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) -
| |
John (18-06-2002)
| Kommentar Fra : John |
Dato : 18-06-02 10:46 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0EDE84.4040206@example.net...
> John wrote:
> > "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
> > meddelelse news:3D0E40F1.3030807@example.net...
> >
> >
> >>Hvis nu du besøger dit website med http:///test?test1=test2
> >>hvad får du så i loggen?
>
> Så ovennævnte bliver omskrevet til nedestående?
>
> Dvs. du kan ikke hvilke arumenter folk kalder dine scripts med.
>
> > 05:53:14 80.197.62.254 - GET /jkhansen/test 404 3433
> > Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) -
Jeg forstod tidligere i tråden, at cs-method var = argumenter...men hvis
ikke, så har IIS ikke den mulighed....
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
Christian E. Lysel (16-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-06-02 20:21 |
|
John wrote:
> Det er ikke lykkedes mig at for IIS til at logge argumenter i URL....
Skumelt, hvordan tester du det?
| |
John (16-06-2002)
| Kommentar Fra : John |
Dato : 16-06-02 21:13 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0CE538.5020008@example.net...
> John wrote:
> > Det er ikke lykkedes mig at for IIS til at logge argumenter i URL....
>
> Skumelt, hvordan tester du det?
Intet problem, da jeg fandt ud af argumenter = cs-method.....
| |
John (15-06-2002)
| Kommentar Fra : John |
Dato : 15-06-02 09:21 |
|
"RasmusT" <coolrasmus@hotmail.com> skrev i en meddelelse
news:aeeo65$2m7i$1@news.cybercity.dk...
Mange tak for dit uddybende svar. Jeg værdsætter det.......
--
MVH
John K Hansen
dk.fritid.foto@jkhansen.dk
www.jkhansen.dk
| |
|
|