Buffer Overflow versuch?

F

Freakazoid

Hab da was seltsames in meinem Apachelog gefunden, nun frag ich mich was das sein kann:
82.157.9.37 - - [08/May/2004:14:45:37 +0200] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\...
(SIEHE ANHANG)

Hat da jemand einen BufferOverflow bei mir versucht, oder was soll das sein?

Hab ihn dann mal abgescannt:
Code:
# nmap -O 82.157.9.37

Starting nmap 3.30 ( [url]http://www.insecure.org/nmap/[/url] ) at 2004-05-08 16:45 CEST
Interesting ports on c529d0925.cable.wanadoo.nl (82.157.9.37):
(The 1638 ports scanned but not shown below are in state: closed)
Port       State       Service
25/tcp     filtered    smtp
135/tcp    filtered    loc-srv
139/tcp    open        netbios-ssn
1025/tcp   open        NFS-or-IIS
1080/tcp   filtered    socks
8080/tcp   filtered    http-proxy
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Win 2000 profressional or Advanced Server, or WinXP

Nmap run completed -- 1 IP address (1 host up) scanned in 28.651 seconds

Wie und woran kann ich erkennen was er machen wollte?
Und was könnte oder sollte ich noch bei so einem Vorfall machen?
 
Zuletzt bearbeitet von einem Moderator:
scheint so
du solltest deinen apache uptodate halten
2. scriptkiddy oder wer nutzt windows und versucht exploits auf anderen rechnern auszuführen?
3. anzeige erstatten *g*
 
qmasterrr schrieb:
scheint so
du solltest deinen apache uptodate halten
Ich hoffe doch das ein regelmäßiges YOU(SuSE) ausreicht.
qmasterrr schrieb:
2. scriptkiddy oder wer nutzt windows und versucht exploits auf anderen rechnern auszuführen?
sowas inetwa hab ich mir auch schon gedacht
qmasterrr schrieb:
3. anzeige erstatten *g*
ist ja kein schaden entstanden, aber rächen wär mir lieber *g*
 
dann bleibt dir nur eins übrig schnell banner abfragen und dann gucken was für software drauf ist und wenn du eine anfällige findest musste nen exploit suchen und ausführen :D
ansonsten könnteste noch ne DDOS atacke starten
 
ich würd nich zwangsläufig gleich vom Schlimmsten ausgehen, wenn einmal sowas im Log stand.

YOU sollte reichen um den apache einigermaßen sicher zu halten.

steve
 
Also ich hab diese Zeilen andauernd in meinen Apache Logs ... aber stört mich nich wirklich !
 
devilz schrieb:
Also ich hab diese Zeilen andauernd in meinen Apache Logs ... aber stört mich nich wirklich !
Na denn ... hab meinen Apache noch nicht so lange zu laufen und hab mir heute einige Dateien dazu genauer angeschaut. Wenn sowas öffters vorkommt, werd ich es einfach ignorieren. Wär aber noch interessant zu wissen, was genau dort versucht wurde. :sly:

Was mich noch interessiert, ist was ich alles machen könnte wenn ich merke das sich jemand versucht bei mir einzuloggen, oder mich anders angreift.
Ich meine Netzwerkverbindung trennen und hoffen das er bald weg ist kanns ja auch nicht sein. Gibt es einen Befehl, mit dem ich ihn bis zum nächsten Neustart oder so aussperren kann, ohne groß an der Firewall rumschustern zu müssen?
 
scheint so aber schuldig würde ich es nicht nenen er gibt halt nur jedem admin (leider auch jedem kleinkind) die chance zu gucken ob sein apache sicher ist. also dackel zu deinem lka (die großen hackerundvirenschreiber jäger) und erstell ne anzeige gegen unbekannt nein warte zeig direckt den besitzer der ip an :)
 
steve schau an du kannst lesen

wenn eine url gepostet wird sollte man dieser schon folgen bevor man etwas postet

IIS 5.0 WebDAV Exploit - Proof of concept - shellcode included <-- steht da ganz groß und auf der anderen seite hatt das auch jemand geschrieben
 
qmasterrr schrieb:
steve schau an du kannst lesen

wenn eine url gepostet wird sollte man dieser schon folgen bevor man etwas postet

IIS 5.0 WebDAV Exploit - Proof of concept - shellcode included <-- steht da ganz groß und auf der anderen seite hatt das auch jemand geschrieben


jo schau an, dass kann ich. Ist das nicht echt toll? Ich frage mich nur, warum du dann was von apache ... laberst? Wenn das sowieso nicht relevant ist?

danke
 
na wprum geht es hier und in welchen logs steht das ??? siehste in denen vom apache
 
moin

qmasterrr schrieb:
scheint so aber schuldig würde ich es nicht nenen er gibt halt nur jedem admin (leider auch jedem kleinkind) die chance zu gucken ob sein apache sicher ist.

das einzige was das teil macht bei einem *apache user* => es müllt dir die logs zu. genau wie bei nimda und konsorten damals.
die sicherheit deines apache kannst du damit nicht *testen*.

und jetzt seid friedlich ;).


Gruß HL
 
dann stand auf der bösen ersten url mist
 
Zuletzt bearbeitet:
*Schmunzel*

Hallo,

Also solche "Attacken" sind heutzutage normal, der wahrscheinlich wichtigste Grund, warum ihr eure httpd auf dem neusten Stand haben solltet. 2. Sind es _meistens_ keine einzelnen Angriffe auf gezielte Apache Server, sondern Rangescanner, die einen bestimmte IP Klasse abscannen (in Form von Programmen oder Scripten). 3. Kannst du dir nicht sicher sein, dass es "seine" IP bzw. Anschluss ist, da er sich z.B. ueber ein Hotel oder WLAN Hotspot seine Identität verschleiern kann. :rolleyes:

Dann noch viel Spaß mit deinem Apache :]
 

Ähnliche Themen

nmap gibt "open|filtered" aus trotz Portfreigabe

pf: interne Anfragen-Umleitung

Centos 5.5: Qmail lauscht nicht auf Port 25

Mysteriöser 11.4 Absturz - Maschine läuft, SSH und vor Ort Login unmöglich

squid transparent proxy will nicht transparent werden !! :-(

Zurück
Oben