ich habe keinen Web-Server (und will auch keinen)
Hallo Liste, irgendein t-Offline-Kunde versucht des oefteren einen FTP- bzw. einen HTTP-Server bei mir zu finden. Ich habe dies schon oefter beobachtet - hier wird grad ein HTTP-Server vermutet. Ich droppe alle incomming Paktet mit State!=Established|RELATED Daher werden die gedropten Pakete geloggt. Leider sagt mir DNS nur dass es ein DHCP-T-Offline-Client ist. Wie kann ich herausfinden, wer das ist, und warum er/sie das macht/machen ? Kann ich was dagegen tun, hab ich Sicherheitsloecher, die mir nicht bewust sind ? Mar 20 22:36:16 pc113 kernel: filter INPUT DROPs IN=ppp0 OUT= MAC= SRC=217.82.31.156 DST=217.82.162.213 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=6844 DF PROTO=TCP SPT=3421 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 Mar 20 22:36:19 pc113 kernel: filter INPUT DROPs IN=ppp0 OUT= MAC= SRC=217.82.31.156 DST=217.82.162.213 LEN=52 TOS=0x00 PREC=0x00 TTL=124 ID=7272 DF PROTO=TCP SPT=3421 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 pc113:~ # nslookup 217.82.162.213 Server: localhost Address: 127.0.0.1 Name: pD952A2D5.dip.t-dialin.net Address: 217.82.162.213 MfG, Conrad Gliem
Hallo, at Wed, 20 Mar 2002 22:59:00 +0100 (CET) Conrad Gliem wrote:
Kann ich was dagegen tun, hab ich Sicherheitsloecher, die mir nicht bewust sind ?
Wenn Du kein HTTP oder FTP Server laufen hast, brauchst Du nix befürchten.
MAC= SRC=217.82.31.156 DST=217.82.162.213 LEN=52 TOS=0x00
[ ... ]
pc113:~ # nslookup 217.82.162.213
Warum willst Du Dich selber überprüfen ? src ist der Anfragende. Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
hallo conrad, a) installiere dir portsentry von psionic.com, anleitung siehe www.wolfgarten.com b) setz ne iptables regel ab (wenn es nervt!): iptables -I INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 80 \ -s pD952A2D5.dip.t-dialin.net -j REJECT gruß sebastian
Hallo, at Wed, 20 Mar 2002 23:11:29 +0100 Sebastian Wolfgarten wrote:
b) setz ne iptables regel ab (wenn es nervt!): iptables -I INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 80 \ -s pD952A2D5.dip.t-dialin.net -j REJECT
Das wird nicht viel bringen, mach lieber -s 0.0.0.0/0 Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
Hallo, stimmt der Michael hat total recht. Wie dem auch sei, dann bist Du alle Nervensägen, die bei Dir nen http Server suchen, engültig los! gruß sebastian
On Wed, 20 Mar 2002, Michael Raab wrote:
at Wed, 20 Mar 2002 23:11:29 +0100 Sebastian Wolfgarten wrote:
b) setz ne iptables regel ab (wenn es nervt!): iptables -I INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 80 \ -s pD952A2D5.dip.t-dialin.net -j REJECT
Das wird nicht viel bringen, mach lieber -s 0.0.0.0/0
D.h., ich REJECTe anstatt (wie bislang) zu DROPpen ! Oder anders gesagt, ich verrate dem "Angreifer" auch noch, dass es einen Rechner mit meiner IP gibt, an dem der Port 80 nicht erreichbar ist. (Dann versucht er den naechsten Port...) Ausserdem aendert ja nix dran, dass meine (dynamische) IP an Port 80 unerlaubte Pakete bekommt. Stellt sich die Frage, ob jemand alle moeglichen IPs auf bestimmte Ports anklopft, um Luecken zu finden, oder ob jemand registrieren konnte, dass ich gerade zu dieser Zeit mit dieser dyn. IP online war. (Ich weiss dass ich mit jedem gesendeten Paket meine eigene IP-Adresse weitergebe, aber ist das ein Grund mir Pakete zu schicken, die ich nicht bestellt habe? Ich mach das doch auch nicht.) Ansich stellt das alles keine Gefahr dar. Ausser es manipuliert jemand Pakete so, dass diese den Status "ESTABLISHED" haben. Dann sind diese fuer meinen Filter nicht mehr von den Antwortpaketen der von mir aufgebauten Verbindungen unterscheidbar. Wie gross ist eigentlich die Gefahr, dass ich gefaelschte Antwort-Pakete bekomme (Entfuehrte Verbindung)? Wie kann man sich in der Internet- und/oder Transport-Schicht schuetzen? (Eigentlich gar nicht, oder gibt es dazu Tools?) BTW: Was ist nimda? Wurde in einer der Antworten als potentielle Ursache erwaehnt (Ja, ich bin T-DSL-Kunde). Was macht dieses Tool bzw. wer setzt es wozu ein, wer sollte es wann einsetzen? Danke fuer alle Antworten. MfG, Conrad Gliem
On Thu, Mar 21, 2002 at 10:49:06PM +0100, Conrad Gliem wrote:
On Wed, 20 Mar 2002, Michael Raab wrote:
at Wed, 20 Mar 2002 23:11:29 +0100 Sebastian Wolfgarten wrote:
b) setz ne iptables regel ab (wenn es nervt!): iptables -I INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 80 \ -s pD952A2D5.dip.t-dialin.net -j REJECT
Das wird nicht viel bringen, mach lieber -s 0.0.0.0/0
D.h., ich REJECTe anstatt (wie bislang) zu DROPpen ! Oder anders gesagt, ich verrate dem "Angreifer" auch noch, dass
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny
es einen Rechner mit meiner IP gibt, an dem der Port 80 nicht erreichbar ist. (Dann versucht er den naechsten Port...)
Ausserdem aendert ja nix dran, dass meine (dynamische) IP an Port 80 unerlaubte Pakete bekommt.
Stellt sich die Frage, ob jemand alle moeglichen IPs auf bestimmte Ports anklopft, um Luecken zu finden, oder ob jemand registrieren konnte, dass ich gerade zu dieser Zeit mit dieser dyn. IP online war. (Ich weiss dass ich mit jedem gesendeten Paket meine eigene IP-Adresse weitergebe, aber ist das ein Grund mir Pakete zu schicken, die ich nicht bestellt habe? Ich mach das doch auch nicht.)
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Portscan
Ansich stellt das alles keine Gefahr dar. Ausser es manipuliert jemand Pakete so, dass diese den Status "ESTABLISHED" haben. Dann sind diese fuer meinen Filter nicht mehr von den Antwortpaketen der von mir aufgebauten Verbindungen unterscheidbar.
Wie gross ist eigentlich die Gefahr, dass ich gefaelschte Antwort-Pakete bekomme (Entfuehrte Verbindung)? Wie kann man sich in der Internet- und/oder Transport-Schicht schuetzen? (Eigentlich gar nicht, oder gibt es dazu Tools?)
BTW: Was ist nimda? Wurde in einer der Antworten als potentielle Ursache erwaehnt (Ja, ich bin T-DSL-Kunde). Was macht dieses Tool bzw. wer setzt es wozu ein, wer sollte es wann einsetzen?
Danke fuer alle Antworten.
*seufz* am besten Du liest alles ;-) http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
MfG, Conrad Gliem
MfG Benn -- #250319 - http://counter.li.org
Hallo, Bernd Schmelter:
BTW: Was ist nimda? Wurde in einer der Antworten als potentielle Ursache erwaehnt (Ja, ich bin T-DSL-Kunde). Was macht dieses Tool bzw. wer setzt es wozu ein, wer sollte es wann einsetzen?
Das war ich. Ich würde mal sagen, du kannst dich beruhigt zurücklehnen. nimda ist ein Windows-Wurm, der sich unter IIS-Servern verbreitet. Für dich als Linuxer ist er völlig harmlos. Er tut nichts anders, als eine bestimmte Seite auf dem Webserver abzurufen, und durch eine absichtlich kaputte URL aus dem Webordner auszubrechen und Systemprogramme aufzurufen. Solang du kein CMD.EXE auf Platte hast, bist du fein raus. ;-) Dieses Programm besitzt keinerlei Intelligenz. Es ballert seine Netznachbarn voll, ohne sich auch nur für den Erfolg der Aktion zu interessieren. Dabei bleibt er bevorzugt in der Nähe seiner IP-Adresse. Heisst: Auf meinem Arbeitsrechtner klopfen dauernd COLT-Rechner an, weil er über COLT angebunden ist. Privat bin ich, wie du, bei T-Online, und da ist etwas mehr los: Die ganzen anderen T-Online-User um uns herum mit ihren verseuchten Windowskisten scannen in der Gegend rum und kommen recht häufig bei dir und mir vorbei. Solange du keinen ungepatchten IIS unter Windows betreibst, kann dir das völlig egal sein. Und auch, wenn es kein nimda ist: Es ist völlig normal, daß mehrmals täglich jemand an deinen http-Port klopft. Das haben wir alle. Die Welt ist schlecht. Gruß, Ratti
Hallo, at 22 Mar 2002 00:51:07 +0100 Ratti wrote:
Solange du keinen ungepatchten IIS unter Windows betreibst, kann dir das völlig egal sein.
Das wäre ja fast mit Selbstmord zu vergleichen. ;-))
Und auch, wenn es kein nimda ist: Es ist völlig normal, daß mehrmals täglich jemand an deinen http-Port klopft. Das haben wir alle. Die Welt ist schlecht.
Ich finde es immer recht lustig, wenn Scriptkiddies meinen, sie wären der Hecht im Hacken. ;) Ich habe mich mal revangiert und die Registry einer Windowsmöhre nur umbenannt. Ob der Rechner noch gescheit gebootet hat ? Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
Hallo, Conrad Gliem:
irgendein t-Offline-Kunde versucht des oefteren einen FTP- bzw.
Immer derselbe? Oder einfach immer T-Online? Wenn es immer andere sind, aber immer T-Online, dann würde ich einfach mal auf Nimda tippen. Der scannt nicht wild rum, sondern guckt sich immer das Netzwerk in seiner Nähe an - und wenn du auch bei T-Online bist, dann kommt eben alle naslang sowas vorbei. Hab ich auch hier. Abhilfe: Eigentlich keine. Ignorieren. Steigerung: Mit einem Döschen Bier vor dem Rechner sitzen und gucken, wer so reinkommt. Gleich mal auf deren Webserver gucken und freuen. Sind die wüstesten Geschichten dabei. Eine der Kisten, die ich mir mal angesehen habe, war sogar eine Bank... Brrr.... Gruß, Ratti
participants (5)
-
Bernd Schmelter
-
Conrad Gliem
-
Michael Raab
-
Ratti
-
Sebastian Wolfgarten