Buffer Overflow versuch?

Dieses Thema im Forum "Security Talk" wurde erstellt von Freakazoid, 08.05.2004.

  1. #1 Freakazoid, 08.05.2004
    Zuletzt bearbeitet: 08.05.2004
    Freakazoid

    Freakazoid inkompatibel

    Dabei seit:
    18.04.2003
    Beiträge:
    341
    Zustimmungen:
    0
    Hab da was seltsames in meinem Apachelog gefunden, nun frag ich mich was das sein kann:
    82.157.9.37 - - [08/May/2004:14:45:37 +0200] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\...
    (SIEHE ANHANG)

    Hat da jemand einen BufferOverflow bei mir versucht, oder was soll das sein?

    Hab ihn dann mal abgescannt:
    Code:
    # nmap -O 82.157.9.37
    
    Starting nmap 3.30 ( [url]http://www.insecure.org/nmap/[/url] ) at 2004-05-08 16:45 CEST
    Interesting ports on c529d0925.cable.wanadoo.nl (82.157.9.37):
    (The 1638 ports scanned but not shown below are in state: closed)
    Port       State       Service
    25/tcp     filtered    smtp
    135/tcp    filtered    loc-srv
    139/tcp    open        netbios-ssn
    1025/tcp   open        NFS-or-IIS
    1080/tcp   filtered    socks
    8080/tcp   filtered    http-proxy
    Device type: general purpose
    Running: Microsoft Windows 95/98/ME|NT/2K/XP
    OS details: Microsoft Windows Millennium Edition (Me), Win 2000 profressional or Advanced Server, or WinXP
    
    Nmap run completed -- 1 IP address (1 host up) scanned in 28.651 seconds
    Wie und woran kann ich erkennen was er machen wollte?
    Und was könnte oder sollte ich noch bei so einem Vorfall machen?
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 qmasterrr, 08.05.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    scheint so
    du solltest deinen apache uptodate halten
    2. scriptkiddy oder wer nutzt windows und versucht exploits auf anderen rechnern auszuführen?
    3. anzeige erstatten *g*
     
  4. #3 Freakazoid, 08.05.2004
    Freakazoid

    Freakazoid inkompatibel

    Dabei seit:
    18.04.2003
    Beiträge:
    341
    Zustimmungen:
    0
    Ich hoffe doch das ein regelmäßiges YOU(SuSE) ausreicht.
    sowas inetwa hab ich mir auch schon gedacht
    ist ja kein schaden entstanden, aber rächen wär mir lieber *g*
     
  5. #4 qmasterrr, 08.05.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    dann bleibt dir nur eins übrig schnell banner abfragen und dann gucken was für software drauf ist und wenn du eine anfällige findest musste nen exploit suchen und ausführen :D
    ansonsten könnteste noch ne DDOS atacke starten
     
  6. Steve

    Steve 13te

    Dabei seit:
    13.04.2002
    Beiträge:
    381
    Zustimmungen:
    0
    ich würd nich zwangsläufig gleich vom Schlimmsten ausgehen, wenn einmal sowas im Log stand.

    YOU sollte reichen um den apache einigermaßen sicher zu halten.

    steve
     
  7. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
    Also ich hab diese Zeilen andauernd in meinen Apache Logs ... aber stört mich nich wirklich !
     
  8. #7 Freakazoid, 08.05.2004
    Freakazoid

    Freakazoid inkompatibel

    Dabei seit:
    18.04.2003
    Beiträge:
    341
    Zustimmungen:
    0
    Na denn ... hab meinen Apache noch nicht so lange zu laufen und hab mir heute einige Dateien dazu genauer angeschaut. Wenn sowas öffters vorkommt, werd ich es einfach ignorieren. Wär aber noch interessant zu wissen, was genau dort versucht wurde. :sly:

    Was mich noch interessiert, ist was ich alles machen könnte wenn ich merke das sich jemand versucht bei mir einzuloggen, oder mich anders angreift.
    Ich meine Netzwerkverbindung trennen und hoffen das er bald weg ist kanns ja auch nicht sein. Gibt es einen Befehl, mit dem ich ihn bis zum nächsten Neustart oder so aussperren kann, ohne groß an der Firewall rumschustern zu müssen?
     
  9. #8 qmasterrr, 08.05.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
  10. #9 Freakazoid, 09.05.2004
    Freakazoid

    Freakazoid inkompatibel

    Dabei seit:
    18.04.2003
    Beiträge:
    341
    Zustimmungen:
    0
  11. #10 qmasterrr, 09.05.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    scheint so aber schuldig würde ich es nicht nenen er gibt halt nur jedem admin (leider auch jedem kleinkind) die chance zu gucken ob sein apache sicher ist. also dackel zu deinem lka (die großen hackerundvirenschreiber jäger) und erstell ne anzeige gegen unbekannt nein warte zeig direckt den besitzer der ip an :)
     
  12. Steve

    Steve 13te

    Dabei seit:
    13.04.2002
    Beiträge:
    381
    Zustimmungen:
    0
    das is doch ein IIS Exploit? Oder irre ich mich?

    steve
     
  13. #12 qmasterrr, 09.05.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    steve schau an du kannst lesen

    wenn eine url gepostet wird sollte man dieser schon folgen bevor man etwas postet

    IIS 5.0 WebDAV Exploit - Proof of concept - shellcode included <-- steht da ganz groß und auf der anderen seite hatt das auch jemand geschrieben
     
  14. Steve

    Steve 13te

    Dabei seit:
    13.04.2002
    Beiträge:
    381
    Zustimmungen:
    0

    jo schau an, dass kann ich. Ist das nicht echt toll? Ich frage mich nur, warum du dann was von apache ... laberst? Wenn das sowieso nicht relevant ist?

    danke
     
  15. #14 qmasterrr, 09.05.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    na wprum geht es hier und in welchen logs steht das ??? siehste in denen vom apache
     
  16. #15 HangLoose, 09.05.2004
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin

    das einzige was das teil macht bei einem *apache user* => es müllt dir die logs zu. genau wie bei nimda und konsorten damals.
    die sicherheit deines apache kannst du damit nicht *testen*.

    und jetzt seid friedlich ;).


    Gruß HL
     
Thema:

Buffer Overflow versuch?

Die Seite wird geladen...

Buffer Overflow versuch? - Ähnliche Themen

  1. Apple QuickTime 7.7.2 Buffer Overflow

    Apple QuickTime 7.7.2 Buffer Overflow: Apple QuickTime versions 7.7.2 and below suffer from a buffer overflow vulnerability in the handling of TGA files. Weiterlesen...
  2. IrfanView 4.33 TIF Image Decompression Buffer Overflow

    IrfanView 4.33 TIF Image Decompression Buffer Overflow: IrfanView version 4.33 suffers from a TIF image decompression buffer overflow vulnerability. Proof of concept included. Weiterlesen...
  3. IrfanView 4.33 RLE Image Decompression Buffer Overflow

    IrfanView 4.33 RLE Image Decompression Buffer Overflow: IrfanView version 4.33 suffers from a RLE image decompression buffer overflow vulnerability. Proof of concept included. Weiterlesen...
  4. Guacamole 0.6.0 Buffer Overflow

    Guacamole 0.6.0 Buffer Overflow: Guacamole 0.6.0 contains a trivial buffer overflow vulnerability that allows connected users to execute code with the privileges of the guacd...
  5. Oracle Outside-In LWP File Parsing Buffer Overflow

    Oracle Outside-In LWP File Parsing Buffer Overflow: Oracle Outside-In LWP file parsing suffers from a stack based buffer overflow vulnerability. Proof of concept included. Weiterlesen...