|
|
 | Angreb vie webserver.
Fra : Alex Linaa |
Dato : 19-02-03 19:38 |
|
Hej Gruppe.
Efter at have sat en webserver i produktion på min egen server, kan jeg i
liggen se gentagne forsøg på at få kontrol over c:\winnt\system32\cmd.exe
Nu kører jeg ikke NT, så der er i og for sig uskadeligt, men jeg barsler med
ideen om at lægge noget rigtigt ondskabsfuldt i netop denne fil, som jeg så
vil oprette til lejligheden.
Mit spørgsmål er, hvad kan jeg lægge der, så der sker grimme ting og sager
hos hackeren?
Når han kommer ind via webserveren, vil programmet så afvikles hos mig,
eller hos ham?
Venlig hilsen
Alex Linaa
| |
 Jesper Louis Anderse~ (19-02-2003)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 19-02-03 20:08 |
|
On Wed, 19 Feb 2003 19:37:34 +0100, Alex Linaa <a@linaa.com> wrote:
>
> Efter at have sat en webserver i produktion på min egen server, kan jeg i
> liggen se gentagne forsøg på at få kontrol over c:\winnt\system32\cmd.exe
> Nu kører jeg ikke NT, så der er i og for sig uskadeligt, men jeg barsler med
> ideen om at lægge noget rigtigt ondskabsfuldt i netop denne fil, som jeg så
> vil oprette til lejligheden.
Why? Som regel er det en eller anden stakkel, der er inficeret uden at
vide det. Skal han også rammes? De fleste orme spreder sig på den måde.
> Når han kommer ind via webserveren, vil programmet så afvikles hos mig,
> eller hos ham?
Hos dig.
--
Jesper
| |
Alex Linaa (19-02-2003)
| Kommentar
Fra : Alex Linaa |
Dato : 19-02-03 20:12 |
|
"Jesper Louis Andersen" <jlouis@ask.diku.dk> wrote in message
news:slrnb57lgl.5bh.jlouis@ask.diku.dk...
> Why? Som regel er det en eller anden stakkel, der er inficeret uden at
> vide det. Skal han også rammes? De fleste orme spreder sig på den måde.
OK, det vidste jeg ikke. Så er det jo ikke en ret god ide.
Man hvad kan jeg så gøre i min firewall for at blokere det? Jeg kan jo ikke
så godt lukke port 80, hvis wenserveren skal fungere.
Venlig hilsen
Alex Linaa
| |
 Kent Friis (19-02-2003)
| Kommentar
Fra : Kent Friis |
Dato : 19-02-03 20:57 |
|
Den Wed, 19 Feb 2003 20:11:53 +0100 skrev Alex Linaa:
>"Jesper Louis Andersen" <jlouis@ask.diku.dk> wrote in message
>news:slrnb57lgl.5bh.jlouis@ask.diku.dk...
>
>> Why? Som regel er det en eller anden stakkel, der er inficeret uden at
>> vide det. Skal han også rammes? De fleste orme spreder sig på den måde.
>
>OK, det vidste jeg ikke. Så er det jo ikke en ret god ide.
>Man hvad kan jeg så gøre i min firewall for at blokere det? Jeg kan jo ikke
>så godt lukke port 80, hvis wenserveren skal fungere.
Du skal bruge et program der kan forstå HTTP. Det mest oplagte ville
være din webserver 
Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.
| |
Jesper Dybdal (19-02-2003)
| Kommentar
Fra : Jesper Dybdal |
Dato : 19-02-03 22:37 |
|
"Alex Linaa" <a@linaa.com@ingenspam.com> wrote:
>"Jesper Louis Andersen" <jlouis@ask.diku.dk> wrote in message
>news:slrnb57lgl.5bh.jlouis@ask.diku.dk...
>
>> Why? Som regel er det en eller anden stakkel, der er inficeret uden at
>> vide det. Skal han også rammes? De fleste orme spreder sig på den måde.
>
>OK, det vidste jeg ikke. Så er det jo ikke en ret god ide.
>Man hvad kan jeg så gøre i min firewall for at blokere det? Jeg kan jo ikke
>så godt lukke port 80, hvis wenserveren skal fungere.
Du skal bare ignorere dem. Det er ormen "Nimda" eller noget
lignende; alle webservere modtager sådan nogle, og så længe man
ved at ens server ikke er sårbar overfor dem, så er der ingen
grund til at bruge tid på at overveje at gøre andet ved dem end
at ignorere dem.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Kasper Dupont (19-02-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 19-02-03 23:33 |
|
Jesper Dybdal wrote:
>
> Du skal bare ignorere dem. Det er ormen "Nimda" eller noget
> lignende; alle webservere modtager sådan nogle, og så længe man
> ved at ens server ikke er sårbar overfor dem, så er der ingen
> grund til at bruge tid på at overveje at gøre andet ved dem end
> at ignorere dem.
Hvis de kommer fra en maskine hos min egen internetudbyder,
så får udbyderen en email om det. Ellers ignorerer jeg dem.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
Alex Linaa (20-02-2003)
| Kommentar
Fra : Alex Linaa |
Dato : 20-02-03 11:10 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3E54061F.5FD917D9@daimi.au.dk...
> Jesper Dybdal wrote:
> >
> > Du skal bare ignorere dem. Det er ormen "Nimda" eller noget
> > lignende; alle webservere modtager sådan nogle, og så længe man
> > ved at ens server ikke er sårbar overfor dem, så er der ingen
> > grund til at bruge tid på at overveje at gøre andet ved dem end
> > at ignorere dem.
>
> Hvis de kommer fra en maskine hos min egen internetudbyder,
> så får udbyderen en email om det. Ellers ignorerer jeg dem.
>
Takker for oplysningerne.
venlig hilsen
Alex Linaa
| |
|
|