---

Jeg kom lige til at se i min apache log fil, og undrede mig lidt over disse
linjer:

"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 301 "-" "-"
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 299 "-" "-"
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309 "-" "-"
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309 "-" "-"
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1

er det nogle der prøver at få adgang til mit system? Umiddelbart har en
surfer jo ikke brug for .exe filer.

aw

---

Allan Weber wrote:

> Jeg kom lige til at se i min apache log fil, og undrede mig lidt over
> disse linjer:
>
> "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 301 "-" "-"

Det er Nimda ormen. Jeg har en lille statistik over dens aktivitet mod
min server liggende her: http://www.cc-consult.dk/Worm/plot.html . Der
ligger også et script, som du kan køre på din egen maskine, hvis du vil
lave en statistik på din egen maskine.

-Claus

---

"Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
news:3bd5a337$0$11600$ba624c82@nntp01.dk.telia.net...

> min server liggende her: http://www.cc-consult.dk/Worm/plot.html . Der

- og der er også en statistik her : http://susie.dk/WorMeter


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

Mickey wrote:

> - og der er også en statistik her : http://susie.dk/WorMeter

Sjovt du også har "nye" CodeRed I angreb her for nylig. Der er sikkert
en eller anden stakkel, der lige har sat en ny Windows maskine på nettet
og så HAPS !

he he...

-Claus

---

Mickey wrote:
> "Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
> news:3bd5a337$0$11600$ba624c82@nntp01.dk.telia.net...
>
>> min server liggende her: http://www.cc-consult.dk/Worm/plot.html . Der
>
> - og der er også en statistik her : http://susie.dk/WorMeter

Synes du det er pæn opførsel at eksponere dem ? Jeg mener hvis nogen
føler trang til at udnytte de inficerede servere, kan de bare hente en
liste hos dig (i en ekstrem situation, kunne man hævde at du var
meddelagtig hvis en tredie (mis)brugte en af de listede servere til
noget ulovligt).

Det ville være mere fair, først at eksponere deres adresser når de har
haft en fair chance for at fikse deres servere.

Jeg ville:

- kamouflere serverne på listen
- kontakte abuse hos deres ISP, eller vedkommende direkte, og efter 14
dage overveje at eksponere deres hostnavne
- ignorere disse "angreb"

Personligt har jeg valgt det sidste..

Husk på at ejerne af de servere du lister, formodentlig ikke er klar
over hvor alvorligt inficerede deres server(e) er. At de så burde have
patch'et efterhånden som der kom sikkerheds-patch'es er så en anden
snak.

X-FUT dk.edb.sikkerhed

--
Don't waste space

---

Thomas wrote:

> Synes du det er pæn opførsel at eksponere dem ? Jeg mener hvis nogen
> føler trang til at udnytte de inficerede servere, kan de bare hente en
> liste hos dig (i en ekstrem situation, kunne man hævde at du var
> meddelagtig hvis en tredie (mis)brugte en af de listede servere til
> noget ulovligt).

Det er selvfølgelig et /formelt/ kiks af Mickey.

Men ærlig talt: Har du kigget i dine egne logs ? Enhver der ønsker sig
nogle maskiner at cracke behøver blot at køre en grep for at finde flere
ofre, end han/hun rimeligvis kan overkomme.

Stadig FUT'tet til dk.edb.sikkerhed

-Claus

---

Thomas wrote:

> Synes du det er pæn opførsel at eksponere dem ? Jeg mener hvis nogen
> føler trang til at udnytte de inficerede servere, kan de bare hente en
> liste hos dig (i en ekstrem situation, kunne man hævde at du var
> meddelagtig hvis en tredie (mis)brugte en af de listede servere til
> noget ulovligt).

Det er selvfølgelig et formelt kiks af Mickey.

Men ærlig talt: Har du kigget i dine egne logs ? Enhver der ønsker sig
nogle maskiner at cracke behøver blot at køre en grep for at finde flere
ofre, end han/hun rimeligvis kan overkomme.


-Claus

---

"Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
news:9r4kss$kmk$2@sunsite.dk...

> Det er selvfølgelig et formelt kiks af Mickey.

må jeg modsige denne påstand ?

> Men ærlig talt: Har du kigget i dine egne logs ? Enhver der ønsker sig
> nogle maskiner at cracke behøver blot at køre en grep for at finde flere
> ofre, end han/hun rimeligvis kan overkomme.

eller en portsniffer ting der lytter på port 80, det sku ikke tage mange
dage at få en del IP'er


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

"Thomas" <inthenews@corell.dk> skrev i en meddelelse
news:slrn9tbg2c.3of.inthenews@mail.corell.dk...

> Synes du det er pæn opførsel at eksponere dem ? Jeg mener hvis nogen
> føler trang til at udnytte de inficerede servere, kan de bare hente en
> liste hos dig (i en ekstrem situation, kunne man hævde at du var
> meddelagtig hvis en tredie (mis)brugte en af de listede servere til
> noget ulovligt).

Tjaa, jeg må nok ærligt indrømme at jeg ikke har det specielt dårligt med
det.
De har selv afleveret deres IP i min logfil, og der er svjv ingen lov der
forbyder mig at offentliggøre mine logfiler, selv TDC gør den slags i deres
newsserverstatisik!
Men jo, jeg kan godt se din pointe, og jeg gør normalt ikke den slags.

> Det ville være mere fair, først at eksponere deres adresser når de har
> haft en fair chance for at fikse deres servere.

> - kamouflere serverne på listen

tjaa... - listen er først og fremmest til eget brug

> - kontakte abuse hos deres ISP, eller vedkommende direkte, og efter 14
> dage overveje at eksponere deres hostnavne

det er sket for de værste af dem - den der ligger på førstepladsen har fået
hug 2-3 gange svjh

> - ignorere disse "angreb"

tjaa, jeg kigger ærlig talt sjældent på listen, og det er nu mest af
nysgerrighed jeg har den

> Husk på at ejerne af de servere du lister, formodentlig ikke er klar
> over hvor alvorligt inficerede deres server(e) er. At de så burde have
> patch'et efterhånden som der kom sikkerheds-patch'es er så en anden
> snak.

hvem sagde "deres problem" ?


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

On 23 Oct 2001 19:09:00 GMT, inthenews wrote:

>> - og der er også en statistik her : http://susie.dk/WorMeter

> Synes du det er pæn opførsel at eksponere dem ? Jeg mener hvis nogen
> føler trang til at udnytte de inficerede servere, kan de bare hente
> en liste hos dig (i en ekstrem situation, kunne man hævde at du var
> meddelagtig hvis en tredie (mis)brugte en af de listede servere til
> noget ulovligt).

> Det ville være mere fair, først at eksponere deres adresser når de
> har haft en fair chance for at fikse deres servere.

Hvor lang tid siden er det de på listen optrædende orme blev
offentligt kendt, og hvor lang tid siden er det at Microsoft lavede
patches der lukker hullerne?

Hvor lang en respit er fair?


Mvh.

--
"It's gonna be one of those underground pictures, right?" Adam Sjøgren
"No. It's gonna be all straight. On the up and up." asjo@koldfront.dk

---

"Adam Sjøgren" <asjo@koldfront.dk> skrev i en meddelelse
news:87hesqcci4.fsf@virgil.koldfront.dk...

> Hvor lang tid siden er det de på listen optrædende orme blev
> offentligt kendt, og hvor lang tid siden er det at Microsoft lavede
> patches der lukker hullerne?

Nimda startede d. 11 sep, de andre i juni/juli/august
- patchene kom kort tid efter, Nimda var den der tog længst tid svjv

> Hvor lang en respit er fair?

min liste opdateres en gang i døgnet, det må være lang tid nok ;)
- og helt ærligt, det er stort set 0 hits til den hver dag, det er jo ikke
ligefrem et high-trafic site jeg render rundt med...


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.