PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Buffer Overflow versuch?



Freakazoid
08.05.2004, 16:09
Hab da was seltsames in meinem Apachelog gefunden, nun frag ich mich was das sein kann:
82.157.9.37 - - [08/May/2004:14:45:37 +0200] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\. ..
(SIEHE ANHANG)

Hat da jemand einen BufferOverflow bei mir versucht, oder was soll das sein?

Hab ihn dann mal abgescannt:

# nmap -O 82.157.9.37

Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2004-05-08 16:45 CEST
Interesting ports on c529d0925.cable.wanadoo.nl (82.157.9.37):
(The 1638 ports scanned but not shown below are in state: closed)
Port State Service
25/tcp filtered smtp
135/tcp filtered loc-srv
139/tcp open netbios-ssn
1025/tcp open NFS-or-IIS
1080/tcp filtered socks
8080/tcp filtered http-proxy
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Win 2000 profressional or Advanced Server, or WinXP

Nmap run completed -- 1 IP address (1 host up) scanned in 28.651 seconds

Wie und woran kann ich erkennen was er machen wollte?
Und was könnte oder sollte ich noch bei so einem Vorfall machen?

qmasterrr
08.05.2004, 16:21
scheint so
du solltest deinen apache uptodate halten
2. scriptkiddy oder wer nutzt windows und versucht exploits auf anderen rechnern auszuführen?
3. anzeige erstatten *g*

Freakazoid
08.05.2004, 16:30
scheint so
du solltest deinen apache uptodate haltenIch hoffe doch das ein regelmäßiges YOU(SuSE) ausreicht.

2. scriptkiddy oder wer nutzt windows und versucht exploits auf anderen rechnern auszuführen?sowas inetwa hab ich mir auch schon gedacht

3. anzeige erstatten *g*ist ja kein schaden entstanden, aber rächen wär mir lieber *g*

qmasterrr
08.05.2004, 16:38
dann bleibt dir nur eins übrig schnell banner abfragen und dann gucken was für software drauf ist und wenn du eine anfällige findest musste nen exploit suchen und ausführen :D
ansonsten könnteste noch ne DDOS atacke starten

Steve
08.05.2004, 17:03
ich würd nich zwangsläufig gleich vom Schlimmsten ausgehen, wenn einmal sowas im Log stand.

YOU sollte reichen um den apache einigermaßen sicher zu halten.

steve

devilz
08.05.2004, 17:24
Also ich hab diese Zeilen andauernd in meinen Apache Logs ... aber stört mich nich wirklich !

Freakazoid
08.05.2004, 20:59
Also ich hab diese Zeilen andauernd in meinen Apache Logs ... aber stört mich nich wirklich !Na denn ... hab meinen Apache noch nicht so lange zu laufen und hab mir heute einige Dateien dazu genauer angeschaut. Wenn sowas öffters vorkommt, werd ich es einfach ignorieren. Wär aber noch interessant zu wissen, was genau dort versucht wurde. :sly:

Was mich noch interessiert, ist was ich alles machen könnte wenn ich merke das sich jemand versucht bei mir einzuloggen, oder mich anders angreift.
Ich meine Netzwerkverbindung trennen und hoffen das er bald weg ist kanns ja auch nicht sein. Gibt es einen Befehl, mit dem ich ihn bis zum nächsten Neustart oder so aussperren kann, ohne groß an der Firewall rumschustern zu müssen?

qmasterrr
08.05.2004, 21:39
ich hatte recht is nen exploit
http://www.webmasterworld.com/forum39/2173.htm

Freakazoid
08.05.2004, 23:45
Wenn ich richtig gesucht habe, ist das der Schuldige:
http://www.k-otik.com/exploits/03.24.webdav.c.php

qmasterrr
09.05.2004, 05:39
scheint so aber schuldig würde ich es nicht nenen er gibt halt nur jedem admin (leider auch jedem kleinkind) die chance zu gucken ob sein apache sicher ist. also dackel zu deinem lka (die großen hackerundvirenschreiber jäger) und erstell ne anzeige gegen unbekannt nein warte zeig direckt den besitzer der ip an :)

Steve
09.05.2004, 09:49
das is doch ein IIS Exploit? Oder irre ich mich?

steve

qmasterrr
09.05.2004, 09:53
steve schau an du kannst lesen

wenn eine url gepostet wird sollte man dieser schon folgen bevor man etwas postet

IIS 5.0 WebDAV Exploit - Proof of concept - shellcode included <-- steht da ganz groß und auf der anderen seite hatt das auch jemand geschrieben

Steve
09.05.2004, 10:00
steve schau an du kannst lesen

wenn eine url gepostet wird sollte man dieser schon folgen bevor man etwas postet

IIS 5.0 WebDAV Exploit - Proof of concept - shellcode included <-- steht da ganz groß und auf der anderen seite hatt das auch jemand geschrieben


jo schau an, dass kann ich. Ist das nicht echt toll? Ich frage mich nur, warum du dann was von apache ... laberst? Wenn das sowieso nicht relevant ist?

danke

qmasterrr
09.05.2004, 10:08
na wprum geht es hier und in welchen logs steht das ??? siehste in denen vom apache

HangLoose
09.05.2004, 10:34
moin


scheint so aber schuldig würde ich es nicht nenen er gibt halt nur jedem admin (leider auch jedem kleinkind) die chance zu gucken ob sein apache sicher ist.

das einzige was das teil macht bei einem *apache user* => es müllt dir die logs zu. genau wie bei nimda und konsorten damals.
die sicherheit deines apache kannst du damit nicht *testen*.

und jetzt seid friedlich ;).


Gruß HL

qmasterrr
09.05.2004, 10:36
dann stand auf der bösen ersten url mist

creedius
18.06.2004, 13:09
*Schmunzel*

Hallo,

Also solche "Attacken" sind heutzutage normal, der wahrscheinlich wichtigste Grund, warum ihr eure httpd auf dem neusten Stand haben solltet. 2. Sind es _meistens_ keine einzelnen Angriffe auf gezielte Apache Server, sondern Rangescanner, die einen bestimmte IP Klasse abscannen (in Form von Programmen oder Scripten). 3. Kannst du dir nicht sicher sein, dass es "seine" IP bzw. Anschluss ist, da er sich z.B. ueber ein Hotel oder WLAN Hotspot seine Identität verschleiern kann. :rolleyes:

Dann noch viel Spaß mit deinem Apache :]