|
| Portscan! Fra : Bruun |
Dato : 22-08-01 19:32 |
|
Hej i gruppen,
På mit arbejde er jeg en del af vores Unix gruppe. Efter jeg har sat et par
web-servere op, kan jeg se i mine logs at antal ip-adresser forsøger et
default.ida kald.
Jeg kan forstå at det skulle være en worm som angriber Microsofts web-server
software?
Nu begynder disse angreb at være lidt små irriterende, især når jeg kan
counte at den samme ip-adresse forsøger igen og igen. 7 gange i dag på den
ene server, i perioden 08-16.
Nu har jeg så skrevet en abuse-mail til den udbyder som hoster denne
ip-adresse. Der er nu gået en uges tid.. hvor lang tid kan man forvente at
der går før de evt. gør noget ved sagen?!
Eller kan det betale sig at kontakte CERT?!
Har I evt. andre forslag til at få dette til at stoppe.... for nu =)
Kan det virkelig passe at man skal give serveren som angriber dødsstødet?!
Det er vel ikke lovligt?
På forhånd tak,
Mvh Kim Bruun
| |
F.Larsen (22-08-2001)
| Kommentar Fra : F.Larsen |
Dato : 22-08-01 20:13 |
|
Port scan og port scan, det er CodeRed ormen du har besøg af. De maskiner som
forsøger at sende ormen videre er selv ofre for CodeRed. En mulighed er at politi
anmelde angrebet (tror jeg ikke du får meget ud af).
Mit forslag er at du retter henvendelse til vedkommens udbyder evt vedlægger en
kopi af loggen så har de mulighed for at kontakte kunden og gøre opmærksom på at
vedkommens server har CodeRed.
Jeg har selv sendt en liste til min egen udbyder. I et enkelt tilfælde har jeg
sendt en mail direkte til administratoren hvilket vedkommene reagerede positivt
på.
--
Flemming
"Bruun" <dikkedarer@hotmail.com> wrote in message
news:9m0tsp$1igh$1@news.cybercity.dk...
> Hej i gruppen,
>
> På mit arbejde er jeg en del af vores Unix gruppe. Efter jeg har sat et par
> web-servere op, kan jeg se i mine logs at antal ip-adresser forsøger et
> default.ida kald.
| |
Bruun (22-08-2001)
| Kommentar Fra : Bruun |
Dato : 22-08-01 20:27 |
|
Hejsa,
"F.Larsen" <N0Spam@spamfilter.dk> wrote in message
news:CsTg7.10195$3q.325729@news010.worldonline.dk...
> Port scan og port scan, det er CodeRed ormen du har besøg af. De maskiner
som
> forsøger at sende ormen videre er selv ofre for CodeRed. En mulighed er at
politi
> anmelde angrebet (tror jeg ikke du får meget ud af).
Ok =)
Jeg synes bare det går stærkt. Allerede 1 dage online på den ene server, var
der de omtalte 7 'angreb' fra samme ip-adresse.
Jeg kunne se tidligere i dag at ip adressen sørme var en web-server på en
Windows box. NetBios var sørme også åben ;)
http://212.130.84.9
> Mit forslag er at du retter henvendelse til vedkommens udbyder evt
vedlægger en
> kopi af loggen så har de mulighed for at kontakte kunden og gøre opmærksom
på at
> vedkommens server har CodeRed.
>
> Jeg har selv sendt en liste til min egen udbyder. I et enkelt tilfælde har
jeg
> sendt en mail direkte til administratoren hvilket vedkommene reagerede
positivt
> på.
Det har jeg allerede gjort. For en uges tid siden. Hvor lang tid kan det
tænkes at der kan gå, før de siger stop?!
Jeg skrev til abuse@euroconnect.net og 2 andre jeg ikke lige kan huske på
stående fod. Fandt dem via whois på ripe.net.
Jeg prøver lige at skrive en gang mere.
Takker for hjælpen.
Mvh Kim Bruun
| |
Christian Andersen (22-08-2001)
| Kommentar Fra : Christian Andersen |
Dato : 22-08-01 20:31 |
|
Bruun wrote:
>Jeg kunne se tidligere i dag at ip adressen sørme var en web-server på en
>Windows box. NetBios var sørme også åben ;)
>
> http://212.XXX.XX.X
Ja, dig ville jeg sørme gerne have som administrator på mit netværk.
--
Nescafe - because your pets deserve the best!
| |
Bruun (22-08-2001)
| Kommentar Fra : Bruun |
Dato : 22-08-01 21:14 |
|
Hejsa,
"Christian Andersen" <hypvxo28u85zyj001@sneakemail.com> wrote in message
news:3b84086c$0$303$edfadb0f@dspool01.news.tele.dk...
> Bruun wrote:
>
> >Jeg kunne se tidligere i dag at ip adressen sørme var en web-server på en
> >Windows box. NetBios var sørme også åben ;)
> >
> > http://212.XXX.XX.X
>
> Ja, dig ville jeg sørme gerne have som administrator på mit netværk.
Sorry... jeg blev bare små irritabel på dette, da log'n blev nød til at
blive mounted på sin egen disk fordi den voksede ret kraftigt - hurtigt.
Det skal ikke ske igen med offentliggørelse af disse små tal.
Hermed slettet.. håber at den bliver fjernet hurtigt fra NG'n.
Mvh Kim Bruun
| |
Christian Andersen (22-08-2001)
| Kommentar Fra : Christian Andersen |
Dato : 22-08-01 21:28 |
|
Bruun wrote:
>>> http://212.XXX.XX.X
>>Ja, dig ville jeg sørme gerne have som administrator på mit netværk.
[...]
>Det skal ikke ske igen med offentliggørelse af disse små tal.
Fint.
--
Nescafe - because your pets deserve the best!
| |
F.Larsen (22-08-2001)
| Kommentar Fra : F.Larsen |
Dato : 22-08-01 20:47 |
|
"Bruun" <dikkedarer@hotmail.com> wrote in message
news:9m112p$1np9$1@news.cybercity.dk...
>
> Jeg kunne se tidligere i dag at ip adressen sørme var en web-server på en
> Windows box. NetBios var sørme også åben ;)
>
> http://xxxxxxx
Ingen grund til at offentliggøre det her. De seneste versioner af Code Red har til
formål at gøre maskinen åben for en hacker der så senere kan få kontrol over
maskinen.
En mulighed for at isolere disse angreb rent teknisk på Web serveren er at
konsekvent benytte hostheader i opsætningen af et website og sætte alle direkte IP
forspørgsler på et dummy site som er ekstremt restriktivt sat op. Code Red går
nemlig kun efter IP adresser. Jeg har ingen ide om hvordan man sætter det op på en
linux, men det er forholdsvis nemt på Windows 2000 ;=)
--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/
| |
Bruun (22-08-2001)
| Kommentar Fra : Bruun |
Dato : 22-08-01 21:07 |
|
Hejsa,
"F.Larsen" <N0Spam@spamfilter.dk> wrote in message
news:JYTg7.10211$3q.327337@news010.worldonline.dk...
> "Bruun" <dikkedarer@hotmail.com> wrote in message
> news:9m112p$1np9$1@news.cybercity.dk...
> >
> > Jeg kunne se tidligere i dag at ip adressen sørme var en web-server på
en
> > Windows box. NetBios var sørme også åben ;)
> >
> > http://xxxxxxx
>
> Ingen grund til at offentliggøre det her. De seneste versioner af Code Red
har til
> formål at gøre maskinen åben for en hacker der så senere kan få kontrol
over
> maskinen.
Sorry.. jeg var/er bare små irritabel på det fis. Jeg har læst om at nogle
ville lave et script som bare dræbte den box som var lidt for ivrig med .ida
kald.
> En mulighed for at isolere disse angreb rent teknisk på Web serveren er at
> konsekvent benytte hostheader i opsætningen af et website og sætte alle
direkte IP
> forspørgsler på et dummy site som er ekstremt restriktivt sat op. Code Red
går
> nemlig kun efter IP adresser. Jeg har ingen ide om hvordan man sætter det
op på en
> linux, men det er forholdsvis nemt på Windows 2000 ;=)
Well... Så må jeg hellere lige kigge min konfigurationer igennem. Jeg var
bare irriteret over at se at der var den .ida forespørgsel hvert minut
(sekund nogle gange).
Det med ip-adr. skal jeg lige have i mende næste gang :)
Mvh Kim Bruun
| |
jakob borg (22-08-2001)
| Kommentar Fra : jakob borg |
Dato : 22-08-01 21:45 |
|
In article <9m0tsp$1igh$1@news.cybercity.dk>, "Bruun" <dikkedarer@hotmail.com> wrote:
> Nu begynder disse angreb at være lidt små irriterende, især når jeg kan
> counte at den samme ip-adresse forsøger igen og igen. 7 gange i dag på den
> ene server, i perioden 08-16.
^ tag dig ikke af antallet. ved at køre kommandoerne
$ grep -i default.ida access.log access.log.0 | awk '{print $1}' | sort -b | uniq | wc -l
385
$ zgrep -i default.ida access.*.gz | awk '{print $1}' | sort -b | uniq | wc -l
601
i /var/log/apache/ har jeg registreret 986 hits, vel og mærke unikke. dette er på en ganske
regulær ADSL linie, så væn dig til det. =)
/jakob
| |
Arne (22-08-2001)
| Kommentar Fra : Arne |
Dato : 22-08-01 21:05 |
|
In articleID <9m122f$bm4$1@sunsite.dk>,
«jakob borg» says...
> 385
> $ zgrep -i default.ida access.*.gz | awk '{print $1}' | sort -b | uniq | wc -l
> 601
På min port 80 har jeg registret disse:
2/8 -24
3/8 -36
4/8 -150
5/8 -306
6/8 -458
7/8 -450
8/8 -553
9/8 -384
10/8 -310
11/8 -106
12/8 -481
13/8 -387
14/8 -338
og så har det gået jævnt nedover til i dag hvor der kun har været 72
indtil klokken 22. (online 24/7)
--
--
Regards
Arne
--
Proxomitron http://www.flaaten.dk/prox/
Discussion http://asp.flaaten.dk/pforum
Norwegian help http://www.flaaten.dk/hjelp/
| |
Bruun (22-08-2001)
| Kommentar Fra : Bruun |
Dato : 22-08-01 21:11 |
|
Hejsa,
"jakob borg" <jacq@nofreakin'spam.dk.dk> wrote in message
news:9m122f$bm4$1@sunsite.dk...
> In article <9m0tsp$1igh$1@news.cybercity.dk>, "Bruun"
<dikkedarer@hotmail.com> wrote:
>
> > Nu begynder disse angreb at være lidt små irriterende, især når jeg kan
> > counte at den samme ip-adresse forsøger igen og igen. 7 gange i dag på
den
> > ene server, i perioden 08-16.
>
> ^ tag dig ikke af antallet. ved at køre kommandoerne
>
> $ grep -i default.ida access.log access.log.0 | awk '{print $1}' | sort -b
| uniq | wc -l
> 385
> $ zgrep -i default.ida access.*.gz | awk '{print $1}' | sort -b | uniq |
wc -l
> 601
>
> i /var/log/apache/ har jeg registreret 986 hits, vel og mærke unikke.
dette er på en ganske
> regulær ADSL linie, så væn dig til det. =)
Ok!! Det var nu ikke mange - Det er vel over en længere periode?
Men gi' hul i det... Eller det dér ;) - jeg ville bare vide om jeg havde
gjort nok i at informere isp'n om ip-adr.
Mvh Kim Bruun
| |
Peter Brodersen (23-08-2001)
| Kommentar Fra : Peter Brodersen |
Dato : 23-08-01 01:00 |
|
On Wed, 22 Aug 2001 20:32:17 +0200, "Bruun" <dikkedarer@hotmail.com>
wrote:
>Nu begynder disse angreb at være lidt små irriterende, især når jeg kan
>counte at den samme ip-adresse forsøger igen og igen. 7 gange i dag på den
>ene server, i perioden 08-16.
Hvordan kan de overhovedet blive irriterende? Eneste grund skulle
være, at man ikke har andet at give sig til end at sidde og stirre i
logs.
>Har I evt. andre forslag til at få dette til at stoppe.... for nu =)
Hvorfor? Er det et problem for dig?
Seriøst: Er det et problem for dig?
--
- Peter Brodersen
| |
JW (23-08-2001)
| Kommentar Fra : JW |
Dato : 23-08-01 11:32 |
|
"Peter Brodersen" <professionel@nerd.dk> wrote in message
news:EIXg7.10399$3q.339305@news010.worldonline.dk...
> On Wed, 22 Aug 2001 20:32:17 +0200, "Bruun" <dikkedarer@hotmail.com>
> wrote:
> Hvorfor? Er det et problem for dig?
>
> Seriøst: Er det et problem for dig?
hvis du havde læst hele tråden, ville du vide, at mandens log filer
efterhånden kom til at fylde så meget, at de skulle over på en anden disk,
fordi de fyldte den første helt op.
/J
| |
Dennis Davidsen (28-08-2001)
| Kommentar Fra : Dennis Davidsen |
Dato : 28-08-01 21:31 |
|
ja det løber hurtigt op i flere megabyte sådanne logs :P
"JW" <themuss@it.removethis.dk> skrev i en meddelelse
news:9m2m58$18if$1@news.cybercity.dk...
>
> "Peter Brodersen" <professionel@nerd.dk> wrote in message
> news:EIXg7.10399$3q.339305@news010.worldonline.dk...
> > On Wed, 22 Aug 2001 20:32:17 +0200, "Bruun" <dikkedarer@hotmail.com>
> > wrote:
>
> > Hvorfor? Er det et problem for dig?
> >
> > Seriøst: Er det et problem for dig?
>
> hvis du havde læst hele tråden, ville du vide, at mandens log filer
> efterhånden kom til at fylde så meget, at de skulle over på en anden disk,
> fordi de fyldte den første helt op.
>
> /J
>
>
| |
|
|