Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

En "verdensmester" forsøger sig

2 views
Skip to first unread message

Karl Erik Christensen

unread,
Apr 19, 2012, 8:12:06 AM4/19/12
to
Egentlig er det vel en "sport" unge "smartass'er" forsøger sig med, men
også halvgamle fedladne "amtsborgmester aspiranter" forsøger sig
indenfor denne "sport".

Sporten hedder "Forsøg at cracke en hjemmeside", og udføres altså også
af personer, der repræsenterer et politisk parti hvis "ædle" formål
bl.a. er:

"Xxxxxxx Xxxxxxxx sætter din frihed i højsædet. Vi ønsker et samfund,
som er præget af frisind med højt til loftet og med plads til mange
forskellige holdninger. Som mennesker har vi brug for albuerum. Vi skal
kunne leve vores liv sammen med vores familie og venner, søge at få
vores drømme opfyldt og nå de mål, vi sætter os, enten hver for sig
eller sammen med andre.

Xxxxxxx Xxxxxxxx vil forandre samfundet, så du får mulighed for og flere
får mod til at bruge den ret til at leve frit, som vi er født med. Frie
mennesker er forskellige, og det har værdi i sig selv at få lov til at
gribe chancen, kæmpe for sin succes og dermed sætte sit eget
individuelle præg på sin tilværelse. Smålighed, ensretning og ligemageri
er det modsatte af liberalt frisind."

Man kan som sædvanlig sige "Ja, de har så ædle intentioner, men de lever
jo ikke engang selv op til dem".

Nå, men denne halvgamle fedladne politiker og "wanna be" programør, som
benytter ip: 93.90.0.8, forsøger sig så inden for den "ædle" sport, ved
om muligt at kompromittere http://dmwebdesign.dk/zip/zip.php

Personen har end ikke mandsmod til at træde frem, og meddele mig at han
ønsker at tilmelde sig som testperson af siden.

Han er altså et "Pjok".

Karl Erik.

--
http://dmwebdesign.dk - DM i Webdesign
http://produceret-i.dk/ - Køb danske produkter
http://webdesign.ranunkelvej.com - Artikler om webdesign

Philip Nunnegaard

unread,
Apr 19, 2012, 10:36:17 AM4/19/12
to
Karl Erik Christensen skrev:

> Man kan som sædvanlig sige "Ja, de har så ædle intentioner, men de lever
> jo ikke engang selv op til dem".

Nemlig. Tvært imod er mange af dem en trussel mod ytringsfriheden, fordi
deres forsøg går hårdest ud over os amatører, der bare må lade stå til,
til vi en dag må dreje nøglen. De store kan bare betale sig fra at få
løst problemet.

> Nå, men denne halvgamle fedladne politiker og "wanna be" programør, som
> benytter ip: 93.90.0.8, forsøger sig så inden for den "ædle" sport, ved
> om muligt at kompromittere http://dmwebdesign.dk/zip/zip.php
>
> Personen har end ikke mandsmod til at træde frem, og meddele mig at han
> ønsker at tilmelde sig som testperson af siden.
>
> Han er altså et "Pjok".

Ifølge denne side kommer han fra Odense - med mindre han har maskeret
sin IP.

http://en.utrace.de/whois/93.90.0.8


--
Philip

Kurt Hansen

unread,
Apr 19, 2012, 10:43:29 AM4/19/12
to
Den 19/04/12 14.12, Karl Erik Christensen skrev:

> "Xxxxxxx Xxxxxxxx sætter din frihed i højsædet. Vi ønsker et samfund,
> som er præget af frisind med højt til loftet og med plads til mange
> forskellige holdninger. Som mennesker har vi brug for albuerum. Vi skal
> kunne leve vores liv sammen med vores familie og venner, søge at få
> vores drømme opfyldt og nå de mål, vi sætter os, enten hver for sig
> eller sammen med andre.
>
> Xxxxxxx Xxxxxxxx vil forandre samfundet, så du får mulighed for og flere
> får mod til at bruge den ret til at leve frit, som vi er født med. Frie
> mennesker er forskellige, og det har værdi i sig selv at få lov til at
> gribe chancen, kæmpe for sin succes og dermed sætte sit eget
> individuelle præg på sin tilværelse. Smålighed, ensretning og ligemageri
> er det modsatte af liberalt frisind."

Er der præmier? Jeg gætter på at han (hvis det da er en han) tilhører
enten Socialdemokratiet, SF, Enhedslisten, De Radikale, Venstre, De
Konservative, Falsk Dolkeparti eller Kristendemokraterne. Det er som
snydt ud af deres partiprogrammer ;-)
--
Venlig hilsen
Kurt Hansen

Karl Erik Christensen

unread,
Apr 19, 2012, 10:54:00 AM4/19/12
to
Jeg ved hvem han er.

Når han laver indlæg i news er ip-adressen "maskeret".

Indtil videre er det "kun" lykkedes ham at downloade html-koden, og den
kan alle jo få via "Vis kilden".

Karl Erik Christensen

unread,
Apr 19, 2012, 10:58:01 AM4/19/12
to
On 19-04-2012 16:43, Kurt Hansen wrote:
> Er der præmier? Jeg gætter på at han (hvis det da er en han) tilhører
> enten Socialdemokratiet, SF, Enhedslisten, De Radikale, Venstre, De
> Konservative, Falsk Dolkeparti eller Kristendemokraterne. Det er som
> snydt ud af deres partiprogrammer ;-)

Næ Kurt - du har jo fået din præmie :-)

x'erne erstatter præcist hvert bogstav i navnet på partiet.
Så har du noget at få aftenen og natten til at gå med :-)

Kurt Hansen

unread,
Apr 19, 2012, 11:20:50 AM4/19/12
to
Den 19/04/12 16.58, Karl Erik Christensen skrev:
> On 19-04-2012 16:43, Kurt Hansen wrote:
>> Er der præmier? Jeg gætter på at han (hvis det da er en han) tilhører
>> enten Socialdemokratiet, SF, Enhedslisten, De Radikale, Venstre, De
>> Konservative, Falsk Dolkeparti eller Kristendemokraterne. Det er som
>> snydt ud af deres partiprogrammer ;-)

> Næ Kurt - du har jo fået din præmie :-)

Åh jæs, tænk ... det havde jeg allerede glemt ;-)

> x'erne erstatter præcist hvert bogstav i navnet på partiet.
> Så har du noget at få aftenen og natten til at gå med :-)

Xxxxxxx Xxxxxxxx
SF? Næh, det er sgu for mange x'er.

Xxxxxxx Xxxxxxxx
Ahhhhhh, for ind i .... det er jo kuglestøderpartiet.
Åh, Herre Jemini :-(

Karl Erik Christensen

unread,
Apr 19, 2012, 12:12:49 PM4/19/12
to
On 19-04-2012 17:20, Kurt Hansen wrote:

> Xxxxxxx Xxxxxxxx
> Ahhhhhh, for ind i .... det er jo kuglestøderpartiet.
> Åh, Herre Jemini :-(

Der er min indstilling lig med partiets - Alle har ret til at have deres
frihed til hvad som helse.

Blot mener jeg at de burde have deres orientering tatoveret tværs over
kroppen.
Hvis nu man skulle møde en sådan i omklædningsbadet, så kan man bare
lade sæben liggende, hvis man taber den :-)

Anders Wegge Keller

unread,
Apr 19, 2012, 12:54:48 PM4/19/12
to
Karl Erik Christensen <karl...@none.invalid> writes:

> Jeg ved hvem han er.

Lad os da så høre hvem det er, så vi slipper for dine forblommede
gætterier.

--
/Wegge

Leder efter redundant peering af dk.*,linux.debian.*

Karl Erik Christensen

unread,
Apr 19, 2012, 1:52:23 PM4/19/12
to
On 19-04-2012 18:54, Anders Wegge Keller wrote:

> Lad os da så høre hvem det er, så vi slipper for dine forblommede
> gætterier.
>

Det kunne jo være du kender ham.

Han kan jo kalde sig hvad det skal være - "Mr. Jacobsen" f.eks.

Ser jeg ip-adressen igen, skal jeg overveje om det er besværet værd.
Han er jo bare en "glad amatør", som sikkert også har lejet sig ind på
servere i Bayern.

Anders Wegge Keller

unread,
Apr 19, 2012, 2:04:03 PM4/19/12
to
Karl Erik Christensen <karl...@none.invalid> writes:

> On 19-04-2012 18:54, Anders Wegge Keller wrote:
>
> > Lad os da så høre hvem det er, så vi slipper for dine forblommede
> > gætterier.
> >
>
> Det kunne jo være du kender ham.

Nej, det gør jeg ikke.

> Han kan jo kalde sig hvad det skal være - "Mr. Jacobsen" f.eks.

Det siger ikke mig noget.

> Ser jeg ip-adressen igen, skal jeg overveje om det er besværet værd.
> Han er jo bare en "glad amatør", som sikkert også har lejet sig ind på
> servere i Bayern.

Hvis du nu var den voksne mand, du kræver at andre skal være, ville
du fortælle hvem du mener det drejer sig om. Men du er det virkelige
pjok, der gætter løs, og kommer med så passende løse påstande at man
kan gætte på hvemsomhelst. Det er for sølle.

Og for alle andre, der måtte have fået den fejlagtige opfattelse at
det er mig der skulle være tale om, må jeg melde hus forbi. Min
internetudbyder er TDC, og jeg bor i Aarup, hvilket er pænkt langt fra
Dyrup-Sanderum antenneforenings dækningsområde.

Og så et par korrektioner til Karl-Eriks forkerte gætterier:

LA har aldrig opstillet en amtsborgmesterkandidat, al den stund at
partiet ikke har eksisteret mens der har været amter.

Meget misvisende hævder Karl-Erik at min nntp-posting host er
maskeret i usenet. Det er ikke korrekt, idet jeg rent faktisk poster
fra localhost, set fra min news-servers synspunkt. Den interesserede
kan konstatere at headeren angiver news.jernurt.dk som første
step. Men det er åbenbart mere bekvemt at smide om sig med løse
påstande...

Karl Erik Christensen

unread,
Apr 19, 2012, 2:30:18 PM4/19/12
to
On 19-04-2012 20:04, Anders Wegge Keller wrote:
> Meget misvisende hævder Karl-Erik at min nntp-posting host er
> maskeret i usenet.

Hvor kunne du dog få den ide, at det er dig jeg omtaler?

Har du ikke lidt for høje tanker om dig selv?

Anders Wegge Keller

unread,
Apr 19, 2012, 2:35:58 PM4/19/12
to
Karl Erik Christensen <karl...@none.invalid> writes:

> On 19-04-2012 20:04, Anders Wegge Keller wrote:
> > Meget misvisende hævder Karl-Erik at min nntp-posting host er
> > maskeret i usenet.
>
> Hvor kunne du dog få den ide, at det er dig jeg omtaler?
>
> Har du ikke lidt for høje tanker om dig selv?

Du *er* et pjok. Du kan slynge om dig med løæe beskyldninger, men er
for sølle til at stå ved dem, når det kommer til stykket. Det må da
kaldes et gigantisk selvmål fra din side.

Rune Jensen

unread,
Apr 19, 2012, 5:52:50 PM4/19/12
to
On Apr 19, 7:52 pm, Karl Erik Christensen <karle...@none.invalid>
wrote:
> On 19-04-2012 18:54, Anders Wegge Keller wrote:
>
> >   Lad os da så høre hvem det er, så vi slipper for dine forblommede
> > gætterier.
>
> Det kunne jo være du kender ham.
>
> Han kan jo kalde sig hvad det skal være - "Mr. Jacobsen" f.eks.
>
> Ser jeg ip-adressen igen, skal jeg overveje om det er besværet værd.
> Han er jo bare en "glad amatør", som sikkert også har lejet sig ind på
> servere i Bayern.

Jeg er med Wegge her. Du kan ikke bruge gætterier til en skid, og en
IP er IKKE nok til at beskylde nogen for nogetsomhelst.

Først og fremmest, hvad er angrebsmetoden? SQL-injection?

Program, human user (manuelt angreb), eller automatiseret bot? Ikke
gætte her, før beviset eller sandsynliggør det.

Hvad siger din LOG om brugerens adgang, bevægelser på siden? Referrer?
User agent? Tid imellem requestene?

Lad mig tage et eksempel, godt nok fra hukommelsen, men som er ganske
vidst.

En anonym person kommer ind på min side (GET) med en referrer, som
viser: Google.com, søgetermer: inurl:=1 inurl: .asp og inurl:.dk

Søges altså efter en DANSK side, som er i ASP, og som har en
searchstring hvor en variabel er =1 (som regel forsiden, hvis der
bruges database)

Angrebsforsøget er SQL-injection, set ved ændring i searchstring via
en GET, hvor værdien af keynav blev ændret:

index.asp?keynav='1=1

IPen fra et arabisk land.

User agent var ikke typisk for en bot (botter er som regel noget med
firefox2.0 eller ie6 eller også noget fuldstændigt obskurt), og GZIP
accepteret, ligersom det at der er god tid imellem requestene tyder på
human user. Samme gør referrer, og at han er amatør, tjah, han skjuler
ikke nogetsomhelst i headeren, og laver egentlig bare en simpel og
ganske velkendt test af, om siden er sårbar for SQL-injection (hvilket
den ikke var).

Min vurdering: en script-kiddie i et arabisk land, som var sur på
danskere, derfor ville ødelægge danske hjemmesider, sandsynligvis
Muhammed-sagen, da det foregik på det tidspunkt.


MVH
Rune Jensen

Karl Erik Christensen

unread,
Apr 19, 2012, 6:16:36 PM4/19/12
to
On 19-04-2012 23:52, Rune Jensen wrote:
> Jeg er med Wegge her.

I hvad?
Jeg har ikke nævnt at det skulle være ham.

Jeg har haft en del e-mail kommunikation med wegge.

<citat>
> Der hvor posten afleverer de breve der er tilstillet dig.

Den rager ikke dig.

> Fatter du det stadig ikke?

Nej, jeg havde ikke i min vildeste fantasi forestillet mig at du
troede jeg ville udlevere den til dig.
</citat>

Jeg synes det tyder på at wegge ønsker at forblive anonym.

Jeg kommunikerer ikke mere med wegge - hverken her eller pr. e-mail.

Hans seneste forrykte udspil er, at nu er jeg en "hacker", fordi han kan
se i loggen at jeg har besøgt hjemmesideskolen.dk.

Manden må lide af et eller andet ukendt.

Som sagt besvarer jeg ikke wegges skriverier mere.

Karl Erik Christensen

unread,
Apr 19, 2012, 6:28:50 PM4/19/12
to
On 19-04-2012 23:52, Rune Jensen wrote:

---- Klip ----
> MVH
> Rune Jensen

Kan da lige pointere hvorledes wegge i html-gruppen, giver opskriften på
hvorledes min hjemmeside kan kopieres:

<citat>
Helt afgjort. Det er derfor du omhyggeligt har spærret for wget, uden
at tænke på hvor let det er at sende en anden UA-string
med. Eksempelvis:

wget -U "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;
InfoPath.1; BRI/2; .NET4.0C; msn OptimizedIE8;DADK)" http://ranunkelvej.com

</citat>

Rune Jensen

unread,
Apr 20, 2012, 12:58:51 AM4/20/12
to
On Apr 20, 12:16 am, Karl Erik Christensen <karle...@none.invalid>
wrote:
> On 19-04-2012 23:52, Rune Jensen wrote:
>
> > Jeg er med Wegge her.
>
> I hvad?
> Jeg har ikke nævnt at det skulle være ham.

Wegge skriver, du mangler at angive nogle oplysninger, hvilket jeg er
enig i, og som jeg iøvrigt uddyber i svaret på hans bl.a. hans citat.
Om det lige er Wegge eller en anden, som skriver det, er jeg ligeglad
med, jeg synes det er ret fair indvendinger.

Når jeg læser dit oplæg, så er det lidt ligesom at læse pamfletten bag
på en krimi, og så kun få lov til at læse sidste side i bogen, for at
se, hvem der er den skyldige. Det er sguda en lidt doven krimi-
forfatter, som springer direkte til konklusionen, Karl :)

Læseren af den krimi vil føle sig snydt over ikke at få nogle fakta,
så man kan bedømme selv, om man er enig med detektiven. Vi ved heller
ikke rigtigt hvad forbrydelsen er. Det er jo nok en forudsætning for
opklaringen af en forbrydelse, at der også er en forbrydelse :)

Så...

Hvad er forbrydelsen?
Hvordan foregik angrebet nøjagtigt?
Hvad siger din LOG om bevægelser, tidspunkter, header mv ?


MVH
Rune Jensen

Rune Jensen

unread,
Apr 20, 2012, 1:14:29 AM4/20/12
to
On Apr 20, 12:28 am, Karl Erik Christensen <karle...@none.invalid>
wrote:
> On 19-04-2012 23:52, Rune Jensen wrote:
>
> ---- Klip ----
>
> > MVH
> > Rune Jensen
>
> Kan da lige pointere hvorledes wegge i html-gruppen, giver opskriften på
> hvorledes min hjemmeside kan kopieres:
>
> <citat>
> Helt afgjort. Det er derfor du omhyggeligt har spærret for wget, uden
> at tænke på hvor let det er at sende en anden UA-string
> med. Eksempelvis:
>
> wget -U "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;
> InfoPath.1; BRI/2; .NET4.0C; msn OptimizedIE8;DADK)"http://ranunkelvej.com
>
> </citat>

Det er ikke ulovligt at downloade en hjemmesaide, og jeg ville aldrig
blokere for download, da det bl.a. kan risikere at skade placering på
søgemaskiner.

Eksempler på download:
- Google, Yahoo, MSN-botter
- Fordownload af diverse antivirus, som vil tjekke, om din side er i
orden ifht. deres black list
- Browsershot.org for eksempel laver en automatisk download, samme gør
downforeveryoneorjustme.com (via Googles API SVJH)
- Proxy-servere, som virker som en form for cashe mht. performance på
et netværk
- Enhver besøgende af din hjemmeside, laver også en download af den
side,og omend det foregår lidt anderledes, da det er manuelt via
browser, er det stadig en download

Det, som er interessant er alene, at man beskytter sit system imod
angreb, som er beviselige, herunder SQL-injections, XSS, mmm. Så kan
man skide højt og flot på, om andre vil forsøge angreb, for så virker
det ikke for dem.

Jo OK, du kan nok lave en DoS med en automatisk download, men det er
så forholdsvist sjældent, man oplever det i DK, især udført af
danskere. Det kræver også lidt teknisk viden for at kunne skjule
angrebet, så man ikke bliver fanget af beviserne.


MVH
Rune Jensen

Rune Jensen

unread,
Apr 20, 2012, 1:33:22 AM4/20/12
to
On Apr 20, 7:14 am, Rune Jensen <runeofdenm...@gmail.com> wrote:

> Jo OK, du kan nok lave en DoS med en automatisk download, men det er
> så forholdsvist sjældent, man oplever det i DK, især udført af
> danskere. Det kræver også lidt teknisk viden for at kunne skjule
> angrebet, så man ikke bliver fanget af beviserne.

Jeg fik på et tidspunkt en lidt underlig mail fra en amerikaner, som
påstod, jeg havde DoSet hendes side, og truede mig med bål og brand
(sagsanlæg, vel egentlig). Hun skjulte ikke IPen, og mailadressen var
fungerende, og jeg kunne se i loggen, hun kom direkte fra en whois
look up, så jeg var klar over, det ikke var en spøg - troede faktisk i
første omgang det var spam...

Eftersom det ikke var mig, skrev jeg tilbage, at jeg ikke rigtigt
kendte til angrebet, og hun nok burde kontakte CERT eller hvad den nu
hedder i USA for at få hjælp til at finde den skyldige. Amerikanerne
har en sådan side, hvor man kan melde angreb, kan ikke huske adressen
nu.

Men man skal være lidt varsom med beskyldninger om cyber-angreb, uden
man har nogle beviser :).


MVH
Rune jensen

Stig Johansen

unread,
Apr 20, 2012, 2:09:11 AM4/20/12
to
Rune Jensen wrote:

> En anonym person kommer ind på min side (GET) med en referrer, som
> viser: Google.com, søgetermer: inurl:=1 inurl: .asp og inurl:.dk
>
> Søges altså efter en DANSK side, som er i ASP, og som har en
> searchstring hvor en variabel er =1 (som regel forsiden, hvis der
> bruges database)
>
> Angrebsforsøget er SQL-injection, set ved ændring i searchstring via
> en GET, hvor værdien af keynav blev ændret:
>
> index.asp?keynav='1=1
>
> IPen fra et arabisk land.

Husker (måske) denne hændelse.

Men var det ikke en tyrker vi loggede?

(Har stadig databasen med de ufatteligt mange angrebsforsøg).

--
Med venlig hilsen
Stig Johansen

Rune Jensen

unread,
Apr 20, 2012, 2:51:54 AM4/20/12
to
On Apr 20, 8:09 am, Stig Johansen <wopr...@gmail.com> wrote:

> Husker (måske) denne hændelse.
> Men var det ikke en tyrker vi loggede?

Jo, det har du nok ret i - kan godt huske, vi kædede det ret hurtigt
sammen med muhammed-krisen. Der var ikke rigtigt andre, som lavede SQL-
angrebs-forsøg end ham (altså andet end botter), så det må være den
samme du husker.

Din database, som vi smed loggen ind i, var årsagen til, jeg lærte at
bruge en log, der gik lissom en prås op for mig... Forstår godt, hvis
folk mener, at logs er kedelige, men det er jo hjemmesidens sorte box,
og den er helt objektiv. Hvordan skal man opklare en ulykke med et fly
eller skib f.eks. uden man har dens sorte box? Hvad hvis ingen
overlever, og der ingen vidner er til ulykken? For ikke at sige, at
forebygge samme slags ulykker i fremtiden...


MVH
Rune Jensen

Philip Nunnegaard

unread,
Apr 20, 2012, 3:36:41 AM4/20/12
to
Rune Jensen skrev:

> Din database, som vi smed loggen ind i, var årsagen til, jeg lærte at
> bruge en log,

Fint nok. Men det kræver at man i det hele taget har adgang til sådan en
log eller ved hvordan man selv banker sådan en sammen.

Det er ikke mit indtryk at almindelige webhoteller tilbyder den slags.
Så for os almindelige dødelige ikke-nørder bliver det hele bare
gætterier og en masse skud i tågen med spredehagl.

--
Philip

Rune Jensen

unread,
Apr 20, 2012, 4:02:26 AM4/20/12
to
On Apr 20, 9:36 am, Philip Nunnegaard <nunnenos...@hitsurf.dk> wrote:

> Det er ikke mit indtryk at almindelige webhoteller tilbyder den slags.
> Så for os almindelige dødelige ikke-nørder bliver det hele bare
> gætterier og en masse skud i tågen med spredehagl.

Stig har en kopi af den logging-funktion, som vi brugte, og som jeg
iøvrigt har brugt selv siden. Ca. 15 linjer i ASP, hvis jeg ikke
husker helt galt.

Loggingen var en tekstfil, som blev nyoprettet for hver ny dag,
tekfilens navn indeholdt datoen.

I loggen skal hver request have tidspunkt og så ellers samtlige
parametre, som findes i HTTP headeren, adskilt af - SVJH - en chr(30).
Men det kan Stig nok forklare nærmere.

POST var lidt speciel, da den var en særskilt LOG, blev gemt som XML,
og sdå ellers bare tilføjet i r--- af hianden. Det er formentlig
fordi, det så er nemmere at hente i database og behandle, XML er
univelselt.

Men som sagt, Stig har koden til begge logging-funktioner, kan være
han vil offentliggøre den. Jeg har også en kopi, men den ligger på den
anden maskine, som jeg ikke har adgang til nu.


MVH
Rune Jensen

Stig Johansen

unread,
Apr 23, 2012, 2:10:58 AM4/23/12
to
Rune Jensen wrote:

> On Apr 20, 9:36 am, Philip Nunnegaard <nunnenos...@hitsurf.dk> wrote:
>
>> Det er ikke mit indtryk at almindelige webhoteller tilbyder den slags.
>> Så for os almindelige dødelige ikke-nørder bliver det hele bare
>> gætterier og en masse skud i tågen med spredehagl.
>
> Stig har en kopi af den logging-funktion, som vi brugte, og som jeg
> iøvrigt har brugt selv siden. Ca. 15 linjer i ASP, hvis jeg ikke
> husker helt galt.

Njah.. lidt mere end 15 linier ;-)

Her er ASP koden til 1. level, som nemt kan omsættes til PHP:
...................................
<!--#include virtual="/include_files/md5.inc.asp"--><%
Dim woprDkIpTable
Dim woprIpRquestTest
Dim woprIpRquest
Dim woprRequestMethod
Dim woprRequestHost
Dim woprReferrer
Dim woprURL
Dim woprURIQuery
Dim woprUseragent
Dim woprHTTPAccept
Dim woprHTTPAcceptEnc
Dim woprHTTPConnection
Dim woprHTTPProtocol

Dim woprHTTPAcceptLang
Dim woprHTTPAcceptChar
Dim woprHTTPProxy

woprDkIpTable =
",57,62,77,78,80,81,82,83,84,85,86,87,89,90,91,129,130,131,141,147,149,152,155,159,171,192,193,194,195,212,213,217,"
woprIpRquest = Request.Servervariables("REMOTE_ADDR")
woprRequestMethod = Request.Servervariables("REQUEST_METHOD")
woprRequestHost = Request.Servervariables("HTTP_HOST")
woprReferrer = Request.Servervariables("HTTP_REFERER")
woprURL = Request.Servervariables("URL")
woprURIQuery = Request.Servervariables("QUERY_STRING")
woprUseragent = Request.Servervariables("HTTP_USER_AGENT")
woprHTTPAccept = Request.Servervariables("HTTP_ACCEPT")
woprHTTPAcceptEnc = Request.Servervariables("HTTP_ACCEPT_ENCODING") '
even lynx accepts gzip
woprHTTPConnection = Request.Servervariables("HTTP_CONNECTION")
woprHTTPProtocol = Request.Servervariables("SERVER_PROTOCOL")

woprHTTPAcceptLang = Request.Servervariables("HTTP_ACCEPT_LANGUAGE")
woprHTTPAcceptChar = Request.Servervariables("HTTP_ACCEPT_CHARSET")
woprHTTPProxy = Request.Servervariables("HTTP_PROXY_CONNECTION")


' IIS bruger blanke, dog '-' ved blank entry
LogThisEntry

if woprRequestMethod = "GET" and inStr(woprURIQuery,"http%3A%2F%2F") > 0
and not OneOfOurSelves then
woprRequestHost = "http://wopr.lir.dk" + woprURL
if woprURIQuery <> "" then woprRequestHost = woprRequestHost + "?" +
woprURIQuery
Response.Status = "302 Moved Temporarily"
Response.AddHeader "Location",woprRequestHost
%><head><title>Object moved</title></head><body><h1>Object
Moved</h1>This object may be found <a href="<%
= woprRequestHost %>">here</a>.</body><%
Response.End
end if

if left(woprRequestHost,4) = "www." then
woprRequestHost = "http://" +
Right(woprRequestHost,len(woprRequestHost)-4) + woprURL
if woprURIQuery <> "" then woprRequestHost = woprRequestHost + "?" +
Server.URLEncode(woprURIQuery)
Response.Status = "301 Moved Permanently"
Response.AddHeader "Location",woprRequestHost
%><head><title>Object moved</title></head><body><h1>Object
Moved</h1>This object may be found <a href="<%
= woprRequestHost %>">here</a>.</body><%
Response.End
end if

if woprRequestMethod <> "POST" and woprRequestMethod <> "GET" then
Response.End

if not OneOfTheGoodGuys and not OneOfOurSelves then
woprIpRquestTest = "," + Left(woprIpRquest,inStr(woprIpRquest,".") -
1) + ","
if inStr(woprDkIpTable,woprIpRquestTest) < 1 then
' Response.Status = "404 Go play somewhere else, not here - IP " +
woprIpRquest
' Response.Write "Sorry, no ebtry found "
woprRequestMethod = "MOVE"
LogThisEntry

'-------------- testing start
woprRequestHost = "http://wopr.lir.dk" + woprURL
if woprURIQuery <> "" then woprRequestHost = "?" +
Server.URLEncode(woprURIQuery)
Response.Status = "302 Moved Temporarily"
Response.AddHeader "Location",woprRequestHost
%><head><title>Object moved</title></head><body><h1>Object
Moved</h1>This object may be found <a href="<%
= woprRequestHost %>">here</a>.</body><%
'-------------- testing end

Response.End
end if

' We only want post requests from our own site.
if woprRequestMethod = "QPOST" then
if inStr(woprReferrer,"http://"+woprRequestHost) < 1 then
Response.Status = "404 Go play somewhere else, not here - POST"
Response.Write "Sorry, you seem to make some intrusion attempt"
woprRequestMethod = "NACK2"
LogThisEntry
Response.End
end if
end if

' If get, we only want URI part from our own site, needs to think about
every page
if woprRequestMethod = "qGET" then
if ( woprURIQuery <> "" ) and inStr(woprURIQuery,"xoomer") < 1 then
if inStr(woprReferrer,"http://"+woprRequestHost) < 1 then
Response.Status = "404 Go play somewhere else, not here -
GET"
Response.Write "Sorry, you seem to make some referring spam"
woprRequestMethod = "NACK3"
LogThisEntry
Response.End
end if
end if
end if
end if

'******************* Subroutines Start
**********************************************
Sub LogThisEntry

if OneOfOurSelves then exit sub

Dim Logfile
Dim LogDelimiter
Dim LogfileName

LogfileName = cStr(Year (now())) + "." + Right(cStr(100 + Month
(Now())),2) + "." + Right(cStr(100 + Day (Now()) ),2)
LogfileName = Server.Mappath("/logfiles/") + "/" + LogfileName +
".logfile.txt"

LogDelimiter = " "

set Logfile =
Server.Createobject("Scripting.FilesystemObject").Opentextfile(LogfileName,
8, true)
Logfile.WriteLine _
FormatDateTime(Now(),vbGeneralDate) + LogDelimiter + _
woprIpRquest + LogDelimiter + _
woprRequestMethod + LogDelimiter + _
fLog (woprURL) + LogDelimiter + _
fLog (woprURIQuery) + LogDelimiter + _
fLog (woprRequestHost) + LogDelimiter + _
fLog (woprReferrer) + LogDelimiter + _
fLog (woprUseragent) + LogDelimiter + _
fLog (woprHTTPAccept) + LogDelimiter + _
fLog (woprHTTPAcceptEnc) + LogDelimiter + _
fLog (woprHTTPConnection) + LogDelimiter + _
fLog (woprHTTPProtocol) + LogDelimiter + _
fLog (woprHTTPAcceptLang) + LogDelimiter + _
fLog (woprHTTPAcceptChar) + LogDelimiter + _
fLog (woprHTTPProxy)
End Sub
'******************* Subroutines End
**********************************************

'******************* Functions Start
**********************************************
Function fLog ( lEntry ) ' format log entry
if lEntry = "" then
fLog = "-"
else
fLog = Replace(lEntry," ","+")
end if
end Function
'--------------------------------------------------------------------------------------
Function OneOfTheGoodGuys
OneOfTheGoodGuys = true
' W3s validator
if inStr(woprUseragent,"W3C_Validator") > 0 then OneOfTheGoodGuys = true
if inStr(woprUseragent,"W3C_CSS_Validator") > 0 then OneOfTheGoodGuys =
true
if inStr(woprUseragent,"J2ME/MIDP") > 0 then OneOfTheGoodGuys = true '
Opera mini

if inStr(woprUseragent,"help.yahoo.com/help/us/ysearch/slurp") > 0 then
OneOfTheGoodGuys = true
if inStr(woprUseragent,"Google") > 0 then OneOfTheGoodGuys = true
if left(woprIpRquest,5) = "65.55" then OneOfTheGoodGuys = true ' msn
if woprIpRquest = "66.114.197.254" then OneOfTheGoodGuys = true '
honeypot
end Function
'--------------------------------------------------------------------------------------
Function OneOfOurSelves
OneOfOurSelves = false
if woprIpRquest = "80.72.152.132" or woprIpRquest = "90.184.112.219" then
OneOfOurSelves = true

end Function
'******************* Functions End
**********************************************

%>

Stig Johansen

unread,
Apr 23, 2012, 2:18:19 AM4/23/12
to
Rune Jensen wrote:

> I loggen skal hver request have tidspunkt og så ellers samtlige
> parametre, som findes i HTTP headeren, adskilt af - SVJH - en chr(30).
> Men det kan Stig nok forklare nærmere.

Ja - valget af chr(30) var af hensyn til indlæsning i en database, så vi
kunne forettage kvalificerede SQL'er på den.

> POST var lidt speciel, da den var en særskilt LOG, blev gemt som XML,
> og sdå ellers bare tilføjet i r--- af hianden. Det er formentlig
> fordi, det så er nemmere at hente i database og behandle, XML er
> univelselt.

Årsagen til valget af XML var at det er meget lettere af parse i en
XML-parser end at lave lavpraktiske 'split' på strenge.

Igen mht. opdatering af vores database.

> Men som sagt, Stig har koden til begge logging-funktioner, kan være
> han vil offentliggøre den. Jeg har også en kopi, men den ligger på den
> anden maskine, som jeg ikke har adgang til nu.

Koden kommer her, men det funktionelle design involverede også min lille
'microserver'[1], som sørgede for reverse DNS og opdatering i databasen.

[1] microserver er mit navn for en ekstremt højtydende server baseret på TTY
Linux og NPTL, som nok kune Wegge forstår hvad er ;-)

Kode:
--------------------
<!--#include virtual="/include_files/UTF8toAnsi.inc.asp"--><%
if Request.Servervariables("REQUEST_METHOD") = "POST" then logFormData
Sub logFormData

if woprIpRquest = "80.72.152.132" or woprIpRquest = "90.184.112.219" then
exit sub

Dim lItem
Dim LogfileName
Dim Logline

LogfileName = cStr(Year (now())) + "." + Right(cStr(100 + Month
(Now())),2) + "." + Right(cStr(100 + Day (Now()) ),2)
LogfileName = Server.Mappath("/logfiles/") + "/" + LogfileName +
".logfile.xml"

Logline = "<woprlogentry><woprdatetime>" +
FormatDateTime(Now(),vbGeneralDate) + "</woprdatetime><wopripaddress>" +
Request.Servervariables("REMOTE_ADDR")+
"</wopripaddress><woprscriptname>"+Request.Servervariables("URL")
+"</woprscriptname><woprfields>"
For Each lItem In Request.Form
Logline = Logline + "<woprfield>" + lItem + "<woprvalue><
[CDATA["+AnsitoUTF8 (Request.Form(lItem))+"]]></woprvalue></woprfield>"
Next
Logline = Logline + "</woprfields></woprlogentry>"
Server.Createobject("Scripting.FilesystemObject").Opentextfile(LogfileName,
8, true).WriteLine Logline
end Sub
%>
--------------

Rune Jensen

unread,
Apr 23, 2012, 3:32:28 AM4/23/12
to
On Apr 23, 8:10 am, Stig Johansen <wopr...@gmail.com> wrote:

> Njah.. lidt mere end 15 linier ;-)

Den subrutine, som jeg bruger er denne del:
Plus denne function, som bruges i subben:

Function fLog ( lEntry ) ' format log entry
if lEntry = "" then
fLog = "-"
else
fLog = Replace(lEntry," ","+")
end if
end Function

Det forudsætter, at man har tildelt woprURL, woprURIQuery osv. deres
respektive HTTP servervariable værdier helt i toppen af dokumentet, så
man kan bruge dem som globale variable.

Årsagen til, de er sat som globale, er fordi det koster - meget - at
hente dem hver gang. Ligesåsnart man skal bruge en servervariabel mere
end én gang i dokumentet, kan det betale sig at bruge en global
variabel (dog endnu bedre at bruge en lokal variabel, men så kan den
jo også kun bruges lokalt).


MVH
Rune Jensen

Leif Neland

unread,
Apr 23, 2012, 4:20:33 AM4/23/12
to

"Philip Nunnegaard" <nunne...@hitsurf.dk> skrev i en meddelelse
news:4f9022e0$0$286$edfa...@dtext01.news.tele.dk...
>
>> Nå, men denne halvgamle fedladne politiker og "wanna be" programør, som
>> benytter ip: 93.90.0.8, forsøger sig så inden for den "ædle" sport, ved
>> om muligt at kompromittere http://dmwebdesign.dk/zip/zip.php
>>

Når man ser bort fra dine perfide betegnelser, gik hele seancen ikke ud på
at du fremlagde en ide, og senere en implementering, så du kunne få råd og
vejledning?
En del af vejledningen er vel også at få hjælp til at finde fejl og
sikkerhedsproblemer.

Leif


Philip Nunnegaard

unread,
Apr 23, 2012, 11:59:51 AM4/23/12
to
For en god ordens skyld, så var det ikke mig der skrev det der var
citeret ovenover.
På det tidspunkt hvor jeg svarede i tråden, var det endnu ikke gået op
for mig hvad tråden drejede sig om.

--
Philip

Rune Jensen

unread,
Apr 23, 2012, 7:10:58 PM4/23/12
to
On Apr 23, 5:59 pm, Philip Nunnegaard <nunnenos...@hitsurf.dk> wrote:

> På det tidspunkt hvor jeg svarede i tråden, var det endnu ikke gået op
> for mig hvad tråden drejede sig om.

Du er ikke den eneste.


MVH
Rune Jensen
0 new messages