![](https://seccdn.libravatar.org/avatar/5257c9eea5057b6e5558c47ea690d569.jpg?s=120&d=mm&r=g)
Hat jemand eine Idee wie man einen Daemon auf Port 31789 ausetzen kann, der es für die Scriptkiddies (Back Orifice) etwas ... ... etwas *interessanter* macht? >:-> Mir geht es langsam auf den Wecker! Mein Provider hat neulich von einem Programm namens "fireback" erzählt, daß den Angreifer angeblich sofort stillegt (stilllegt? LOL!). Kennt das jemand von Euch? Es würde für den Anfang auch ein simpler Portscan reichen; die meisten sind dann erstmal bedient (so sie es mitkriegen). Wer weiß, wie man so etwas macht? Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/768d2d1bd3a585f6fcbd75770bbf8dd5.jpg?s=120&d=mm&r=g)
On Wed, 24 Nov 1999, Carsten Meyer wrote:
Es würde für den Anfang auch ein simpler Portscan reichen; die meisten sind dann erstmal bedient (so sie es mitkriegen). Wer weiß, wie man so etwas macht?
# nmap -F -O -sS <target.system> http://www.insecure.org/nmap -- Markus Doehr IT Admin AUBI Baubeschlaege GmbH Tel.: +49 6503 917 152 Fax : +49 6503 917 190 doehrm@aubi.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/4944400684a46938ed0363708c45e4e3.jpg?s=120&d=mm&r=g)
Carsten Meyer wrote:
Hat jemand eine Idee wie man einen Daemon auf Port 31789 ausetzen kann, der es für die Scriptkiddies (Back Orifice) etwas ... ... etwas *interessanter* macht? >:->
Wie meinst Du das? Du willst sie anlocken, und dann "zurueckschlagen", wenn sie drauf eingehen?
Mir geht es langsam auf den Wecker!
Was? Das sie Dich dort scannen? Beschwerde an Provider wirkt meist.
Mein Provider hat neulich von einem Programm namens "fireback" erzählt, daß den Angreifer angeblich sofort stillegt (stilllegt? LOL!). Kennt das jemand von Euch? Nein. Davon solltest Du auch die Finger lassen. Denke mal ueber den Fall nach, dass jemand seine IP faelscht, und Dich zum Beispiel von einer IP eines Grossunternehmens aus "angreift". Du schlaegst zurueck, und legst deren Server lahm...
Es würde für den Anfang auch ein simpler Portscan reichen; die meisten sind dann erstmal bedient (so sie es mitkriegen).
Kriege ich hier einen Portscan mit, frage ich nicht nach Deiner Motivation. Ich beschwere mich bei Deinem Provider, bis es aufhoert.
Wer weiß, wie man so etwas macht? "man nmap" Wenn Du die "boesen" wirklich kennenlernen willst, schau Dich mal im Netz nach "Honeypot" (spell?) um.
Aber huete Dich bitte, bitte, bitte vor dem "Zurueckschlagen"! Rgds. Heiko. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/5257c9eea5057b6e5558c47ea690d569.jpg?s=120&d=mm&r=g)
On Thu, 25 Nov 1999, Heiko Degenhardt wrote:
Carsten Meyer wrote:
Hat jemand eine Idee wie man einen Daemon auf Port 31789 ausetzen kann, der es für die Scriptkiddies (Back Orifice) etwas ... ... etwas *interessanter* macht? >:->
Wie meinst Du das? Du willst sie anlocken, und dann "zurueckschlagen", wenn sie drauf eingehen?
Die brauch ich nicht anzulocken. Die kommen von ganz alleine :-(
Mir geht es langsam auf den Wecker!
Was? Das sie Dich dort scannen? Beschwerde an Provider wirkt meist.
Dann hält mein Provider mich für 'ne Heul-SuSE.
Mein Provider hat neulich von einem Programm namens "fireback" erzählt, daß den Angreifer angeblich sofort stillegt (stilllegt? LOL!). Kennt das jemand von Euch?
Nein. Davon solltest Du auch die Finger lassen. Denke mal ueber den Fall nach, dass jemand seine IP faelscht, und Dich zum Beispiel von einer IP eines Grossunternehmens aus "angreift". Du schlaegst zurueck, und legst deren Server lahm...
Ist natürlich auch ein Argument. Aber stimmt das so? Wenn jemand von Port 31790 (Angreifer) einen Connect auf Port 31789 (Opfer) macht, dann steht die Verbindung! Muß ich dann überhaupt noch mit seiner IP arbeiten? Glaube ich nicht, denn sonst könnte er die heiß ersehnten Antwortpakete nicht mehr lesen, oder? BTW: Wie fälscht man eigentlich IP-Adressen? Muß man sich dafür einen eigenen IP-Stack basteln oder geht das schon mit Bordmittlen? Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/a7fe47c84d0a97e36f0ecbada9a15071.jpg?s=120&d=mm&r=g)
Carsten Meyer schrieb:
BTW: Wie fälscht man eigentlich IP-Adressen? Muß man sich dafür einen eigenen IP-Stack basteln oder geht das schon mit Bordmittlen?
Man besorge sich ein Tool wie z.B. juggernaut und lese den Quellcode ;-) Es geht also mit Bordmitteln. Gruß hebi -- Dirk Hebenstreit Büro-Informationstechnik Tel.: 0170 2461522 Eschenweg 3 033200 85997 14558 Bergholz-Rehbrücke FAX : 033200 85999 dhebenstreit@rios.de dhebi@gmx.net --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/4944400684a46938ed0363708c45e4e3.jpg?s=120&d=mm&r=g)
Hi Carsten! Carsten Meyer wrote:
On Thu, 25 Nov 1999, Heiko Degenhardt wrote:
Beschwerde an Provider wirkt meist.
Dann hält mein Provider mich für 'ne Heul-SuSE.
Soll er! Is ein freies Land :-) Bei Wiederholung fallen seine Pakete hier weg (ueber eine ipchains-Regel, halte ich noch fuer das beste). Die meisten Provider sind meiner Erfahrung nach aber ziemlich hilfsbereit, wenn es um das Thema "abuse" geht.
... Aber stimmt das so? In meinen Augen schon, weil ich es ja behauptet habe... ;-)
Wenn jemand von Port 31790 (Angreifer) einen Connect auf Port 31789 (Opfer) macht, dann steht die Verbindung! Wenn Du auf dem Port was laufen hast, mit was der "Angreifer" sich verbinden kann. Blockst Du den Port, dann hat er nix. Du loggst den Scan, und beschwerst Dich ggf., fertig.
Muß ich dann überhaupt noch mit seiner IP arbeiten? Glaube ich nicht, denn sonst könnte er die heiß ersehnten Antwortpakete nicht mehr lesen, oder? Erstens koennte er sie lesen, wenn er zu dem Zeitpunkt noch die "gefakte" IP benutzt (er hat dann entweder selbst dafuer gesorgt, dass der Betreiber der richtigen IP down ist, oder die sehen in ihren Logs "anscheinend fehlgeleitete" Pakete.
Zweitens konstruieren wir mal folgenden Fall: Jemand will einem grossen Unternehmen schaden. Er faelscht seine IP, indem er eine von ihren Servern benutzt, scannt rasch ein paar Netze, versucht angeblich Einbrueche, und geht wieder offline. Nun sind die "Angegriffenen" Anhaenger der "Erst schiessen, dann fragen"-Philosophie, wer erreicht dann sein Ziel?
BTW: Wie fälscht man eigentlich IP-Adressen? Muß man sich dafür einen eigenen IP-Stack basteln oder geht das schon mit Bordmittlen?
Siehe Dirks mail und diverse Hacker-Sites. Rgds. Heiko. ps: Ich moechte Dir ja nicht ausreden, Dich zu wehren, wenn Du angegriffen wirst. Aber ich habe die Erfahrung gemacht, dass man lieber vorher noch mal nachdenkt. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/67247f638e6c9f12b991023e42099a6c.jpg?s=120&d=mm&r=g)
Hi, Carsten Meyer wrote:
Hat jemand eine Idee wie man einen Daemon auf Port 31789 ausetzen kann, der es für die Scriptkiddies (Back Orifice) etwas ... ... etwas *interessanter* macht? >:->
Klar, schreibst Dir einen Socket Client, der auf dem Port hoert, und wenn was reinkommt dann halt ne aktion ausfuehrt.
Mir geht es langsam auf den Wecker! Mein Provider hat neulich von einem Programm namens "fireback" erzählt, daß den Angreifer angeblich sofort stillegt (stilllegt? LOL!). Kennt das jemand von Euch?
Naja, wenns ne M$ Kiste ist gehts mit sicherheit irgendwie ;-))
Es würde für den Anfang auch ein simpler Portscan reichen; die meisten sind dann erstmal bedient (so sie es mitkriegen). Wer weiß, wie man so etwas macht?
Portscans am besten mit nmap, das tuul ist spitze. Zurueckschlagen wuerde ich nicht, zwecks IP-Spoofing, kann boese ins auge gehen. Am einfachsten, wenn einer Scannt wird die ip adresse sofort in der FW eingetragen und komplett gesperrt. Danach die Infos der IP raussuchen (whois &Co), logfile nehmen, den Provider anschreiben. Ich werd hier taeglich mehrmals gescannt, das macht ganz schoen arbeit. Wenn man jedoch sieht, wie 'hart' (Rausschmiss) einige provider gegen ihre user dann vorgehen freut es mich, das die Arbeit gefruchtet hat. Bei AOL & Co kannst Du Dir das jedoch sparen, da landet sowas immer schoen brav im Datennirvana. -- MfG, M. Stahn --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/8a56d8e71fd0f13607217b219f503a33.jpg?s=120&d=mm&r=g)
Martin Stahn wrote:
Portscans am besten mit nmap, das tuul ist spitze. Zurueckschlagen wuerde ich nicht, zwecks IP-Spoofing, kann boese ins auge gehen.
In welchem Paket finde ich denn nmap (die manpage hab ich drauf). Ich verwende SuSE 6.2. Vielleicht bald 6.3 :-) Thorsten -- Thorsten Ehm E-mail: Thorsten.Ehm@informatik.uni-augsburg.de Institut fuer Informatik Tel.: ++ 49 821 598 2116 Universitaet Augsburg Fax: ++ 49 821 598 2274 86135 Augsburg, Germany http://www.informatik.uni-augsburg.de/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/67247f638e6c9f12b991023e42099a6c.jpg?s=120&d=mm&r=g)
Hi, Thorsten Ehm wrote:
Martin Stahn wrote:
Portscans am besten mit nmap, das tuul ist spitze. Zurueckschlagen wuerde ich nicht, zwecks IP-Spoofing, kann boese ins auge gehen.
In welchem Paket finde ich denn nmap (die manpage hab ich drauf). Ich verwende SuSE 6.2. Vielleicht bald 6.3 :-)
[sec] security related ansonsten die paketauskunft bemuehen ;-) -- MfG, M. Stahn --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/8a56d8e71fd0f13607217b219f503a33.jpg?s=120&d=mm&r=g)
Martin Stahn wrote:
In welchem Paket finde ich denn nmap (die manpage hab ich drauf). Ich verwende SuSE 6.2. Vielleicht bald 6.3 :-)
[sec] security related
ansonsten die paketauskunft bemuehen ;-)
Man lernt jeden Tag etwas hinzu... Danke -- Thorsten Ehm E-mail: Thorsten.Ehm@informatik.uni-augsburg.de Institut fuer Informatik Tel.: ++ 49 821 598 2116 Universitaet Augsburg Fax: ++ 49 821 598 2274 86135 Augsburg, Germany http://www.informatik.uni-augsburg.de/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/5b1bda959b71939b5109254aa6428f6c.jpg?s=120&d=mm&r=g)
Martin Stahn wrote:
Hi,
Carsten Meyer wrote:
Hat jemand eine Idee wie man einen Daemon auf Port 31789 ausetzen kann, der es für die Scriptkiddies (Back Orifice) etwas ... ... etwas *interessanter* macht? >:->
Klar, schreibst Dir einen Socket Client, der auf dem Port hoert, und wenn was reinkommt dann halt ne aktion ausfuehrt.
Mir geht es langsam auf den Wecker! Mein Provider hat neulich von einem Programm namens "fireback" erzählt, daß den Angreifer angeblich sofort stillegt (stilllegt? LOL!). Kennt das jemand von Euch?
Naja, wenns ne M$ Kiste ist gehts mit sicherheit irgendwie ;-))
Es würde für den Anfang auch ein simpler Portscan reichen; die meisten sind dann erstmal bedient (so sie es mitkriegen). Wer weiß, wie man so etwas macht?
Portscans am besten mit nmap, das tuul ist spitze. Zurueckschlagen wuerde ich nicht, zwecks IP-Spoofing, kann boese ins auge gehen.
Am einfachsten, wenn einer Scannt wird die ip adresse sofort in der FW eingetragen und komplett gesperrt.
Danach dürfen die sich erstmal eine neue ip suchen (spoofen / neu einwählen). Frage: Wie kriegt man raus, daß man gescant wird ? Das müßte man dann schon von einem Demon machen lassen, der den scan erkennt, und die ip sperrt.
Danach die Infos der IP raussuchen (whois &Co), logfile nehmen, den Provider anschreiben.
Ich werd hier taeglich mehrmals gescannt, das macht ganz schoen arbeit. Wenn man jedoch sieht, wie 'hart' (Rausschmiss) einige provider gegen ihre user dann vorgehen freut es mich, das die Arbeit gefruchtet hat. Bei AOL & Co kannst Du Dir das jedoch sparen, da landet sowas immer schoen brav im Datennirvana.
Hört sich so an als ob Du sowas am laufen hast :-) Kannst Du da mal mehr drüber erzählen, welches Programm, wie konfiguriert, oder ein selbst gebasteltes script, ... -- __ _ Raymond Häb, ray.haeb@gmx.net, cologne, germany / / (_)__ __ ____ __ / /__/ / _ \/ // /\ \/ / . . . t h e c h o i c e o f a /____/_/_//_/\_,_/ /_/\_\ G N U g e n e r a t i o n . . . --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/5257c9eea5057b6e5558c47ea690d569.jpg?s=120&d=mm&r=g)
On Fri, 26 Nov 1999, Raymond Haeb wrote:
Frage: Wie kriegt man raus, daß man gescant wird ? Das müßte man dann schon von einem Demon machen lassen, der den scan erkennt, und die ip sperrt.
canlogd Ist auf den SuSE-CDs. Funktioniert ganz gut. Schreibt in die /var/log/messages. Meine Defaultaktion wäre, logsurfer auf die messages anzusetzen. Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/a7fe47c84d0a97e36f0ecbada9a15071.jpg?s=120&d=mm&r=g)
Raymond Haeb wrote:
Frage: Wie kriegt man raus, daß man gescant wird ? Das müßte man dann schon von einem Demon machen lassen, der den scan erkennt, und die ip sperrt.
In der Abteilung "Sicherheit" der Suse 6.2" das Programm scanlogd suchen und installieren :-) Viel Erfolg! hebi -- Dirk Hebenstreit Tel : +49-0170-2461522 Eschenweg 3 +49-033200-85997 14558 Bergholz-Rehbruecke FAX : +49-033200-85999 dhebenstreit@rios.de dhebi@gmx.net --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/d692bdfe7c7478b32f93801852c609ff.jpg?s=120&d=mm&r=g)
In der Abteilung "Sicherheit" der Suse 6.2" das Programm scanlogd suchen und installieren :-)
Schlecht dabei: Keine Dokumentation. Schade weiterhin: Es werden nur scans auf die eigene IP gewaertigt; wenn man also einen Proxy betreibt und ein Scan auf 'dahinter' liegende Rechner gefahren wird, so logt er nischte. Besser: Passende ipchains mit '-l'. Bis denne Uli ### Ulrich Klaus, uklaus@mtech.de ### MediaTech Software GmbH ### http://www.mtech.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/67247f638e6c9f12b991023e42099a6c.jpg?s=120&d=mm&r=g)
Hi, Raymond Haeb wrote:
Martin Stahn wrote:
Carsten Meyer wrote:
Am einfachsten, wenn einer Scannt wird die ip adresse sofort in der FW eingetragen und komplett gesperrt.
Danach dürfen die sich erstmal eine neue ip suchen (spoofen / neu einwählen). Frage: Wie kriegt man raus, daß man gescant wird ? Das müßte man dann schon von einem Demon machen lassen, der den scan erkennt, und die ip sperrt.
Der Daemon heisst Firewall und arbeitet mit ipchains ;-)
Ich werd hier taeglich mehrmals gescannt, das macht ganz schoen arbeit. Wenn man jedoch sieht, wie 'hart' (Rausschmiss) einige provider gegen ihre user dann vorgehen freut es mich, das die Arbeit gefruchtet hat. Bei AOL & Co kannst Du Dir das jedoch sparen, da landet sowas immer schoen brav im Datennirvana.
Hört sich so an als ob Du sowas am laufen hast :-) Kannst Du da mal mehr drüber erzählen, welches Programm, wie konfiguriert, oder ein selbst gebasteltes script, ...
ich setzt die sfc ein, die kann das selbst. demnaechst gibts aber pures ipchains mit nem script auf'm loghost, welches bei verstoessen (je nach anzahl usw) dann eine aussperrung veranlasst, sobald ich mal wieder mehr zeit hab ;-) -- MfG, M. Stahn --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/a7fe47c84d0a97e36f0ecbada9a15071.jpg?s=120&d=mm&r=g)
Carsten Meyer schrieb:
Hat jemand eine Idee wie man einen Daemon auf Port 31789 ausetzen kann, der es für die Scriptkiddies (Back Orifice) etwas ... ... etwas *interessanter* macht? >:->
Mir geht es langsam auf den Wecker! Mein Provider hat neulich von einem Programm namens "fireback" erzählt, daß den Angreifer angeblich sofort stillegt (stilllegt? LOL!). Kennt das jemand von Euch?
Es würde für den Anfang auch ein simpler Portscan reichen; die meisten sind dann erstmal bedient (so sie es mitkriegen). Wer weiß, wie man so etwas macht?
Suche mal im Netz nach fakebo; ein kleiner Daemon, den man schön konfigurieren kann. Entweder, er spielt den Angreifer einen BO-Server vor und liefert unsinnige Antworten, oder er blockt und meldet Fehler. Viel Erfolg! hebi -- Dirk Hebenstreit Büro-Informationstechnik Tel.: 0170 2461522 Eschenweg 3 033200 85997 14558 Bergholz-Rehbrücke FAX : 033200 85999 dhebenstreit@rios.de dhebi@gmx.net --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/35af32194867ff8324febecf126ccf20.jpg?s=120&d=mm&r=g)
Hi, Carsten! Trying to kill the keyboard, Carsten Meyer (cmeyer@mail.com) produced 0,7K in 20 lines:
Hat jemand eine Idee wie man einen Daemon auf Port 31789 ausetzen kann, der es für die Scriptkiddies (Back Orifice) etwas ... ... etwas *interessanter* macht? >:->
UNgetestet (nicht von der UN getestet) und nur ein Kern! use IO::Socket; use IO::Select; $::Socket_Proto = new IO::Socket::INET ( LocalPort => $::LISTEN_PORT, # also 31789 Proto => $::PROTO, # tcp/udp Listen => 5, Reuse => 1, ) die "Unable to create listening socket: $!\n" unless $::Socket_Proto; $::Master_Socket = new IO::Select($:Socket_Proto); while ($::Master_Socket->can_read) { # wait for connection # do whatever, probably fork (perhaps using forkfunc?) # sleep a bit (1/4 s), so client can accept call ... select (undef, undef, undef, 0.25); } -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (9)
-
cmeyer@mail.com
-
dhebenstreit@rios.de
-
heiko.degenhardt@sentec-elektronik.de
-
martin.stahn@sskm.de
-
ray.haeb@gmx.net
-
root@doehr.aubi.de
-
Thorsten.Ehm@informatik.uni-augsburg.de
-
uklaus-ml@mtech.de
-
weissel@ph-cip.uni-koeln.de