Hacker aussperren - aber wie?
Stephan Koser
ich habe Suse Linux 7.3 zusammen mit dem Apache laufen.
In meinen logfiles finden sich täglich Angriffsversuche wie:
217.82.194.8 - - [28/Jul/2002:22:21:26 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
Ich gehe mal davon aus, dass diese Angriffe von irgendwelchen Tools kommen,
die das Internet nach offenen Servern absuchen.
Die Angriffe richten sich hauptsächlich an Windows-Rechner.
Kann ich irgendwie erreichen, dass bei einem Versuch cmd.exe aufzurufen, die
IP-Adresse des Anfragers sofort gesperrt wird? Irgendwelche Ideen?
Danke.
Ciao Stephan...
Michael Raab
at Sun, 4 Aug 2002 23:10:06 +0200 Stephan Koser wrote:
> Ich gehe mal davon aus, dass diese Angriffe von irgendwelchen Tools
> kommen, die das Internet nach offenen Servern absuchen.
Jein, die suchen nach einem Nimda verseuchten Rechner.
> Kann ich irgendwie erreichen, dass bei einem Versuch cmd.exe
> aufzurufen, die IP-Adresse des Anfragers sofort gesperrt wird?
Das halte ich für keine gute Idee. Denn das sind meistens dynamische
IPs, die auf Deinen Server zugreifen. Also ist ein sperren dieser IPs
zwecklos.
> Irgendwelche Ideen?
Da diese Einträge doch irgendwie Nerven, habe ich folgende Zeilen in
meiner httpd.conf
SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida|(.*)\dummies$ worm
CustomLog /var/log/httpd/access_log combined env=!worms
Mit diesen beiden Einträgen werden die Logs nicht mehr "verschmutzt".
Bye Michael
--
Nein, FTP heisst nicht "Frauen Transport Protokoll".
Registered Linux User #228306 ICQ #151172379
http://macbyte.info/ GNU-PG-Key ID 0140F88B
Dominik Pusch
> In meinen logfiles finden sich täglich Angriffsversuche wie:
>
> 217.82.194.8 - - [28/Jul/2002:22:21:26 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
Ja, das habe ich auch (schon immer) und mein ganzes log ist fast voll davon.
Scheint wohl eine Art Wurm fuer den winnt Webserver (oder was auch immer da
auf Port 80 laufen mag) zu sein, der sich so verbreitet?
Ist ja auch egal. Jedenfalls: Gibt es eine Moeglichkeit bei Apache diese
logeintraege zu unterdruecken. Oder einfacher: hat jemand ein kleines
Script, dass die logdatei von diesen Eintraegen 'reinigt'?
TIA,
Dominik
PS: x-post + f'up 2 dciws
Rudolf Polzer
> ich habe Suse Linux 7.3 zusammen mit dem Apache laufen.
> In meinen logfiles finden sich täglich Angriffsversuche wie:
>
> 217.82.194.8 - - [28/Jul/2002:22:21:26 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
> Kann ich irgendwie erreichen, dass bei einem Versuch cmd.exe aufzurufen, die
> IP-Adresse des Anfragers sofort gesperrt wird? Irgendwelche Ideen?
Ist das nicht trivial?
/var/www/d/winnt/system32/.htaccess:
| SetHandler cgi-script
| Option ExecCGI
/var/www/d/winnt/system32/cmd.exe (executable):
| #!/bin/sh
| iptables -I INPUT 1 --source "$REMOTE_HOST" -j DROP
Das ist aber nicht das, was du willst. Diese "Angriffe" stammen nicht
von Hackern, sondern von einem Wurm, der zufällige IP-Adressen nach
Sicherheitslücken scannt. Das -j DROP ist bei weitem nicht so effektiv
wie eine Teergrube, die dazu dient, den Wurm zu blockieren:
/var/www/d/winnt/system32/cmd.exe:
| #!/bin/sh
|
| lockfile cmd.exe.lock
| PID="`cat cmd.exe.pid 2>/dev/null`"
| [ -z "$PID" ] || kill "$PID"
| echo $$ > cmd.exe.pid
| rm -f cmd.exe.lock
|
| trap 'rm -f cmd.exe.pid; exit 0' HUP
| echo 'Content-type: text/plain'
| echo
| while sleep 10; do
| echo $RANDOM
| done
Das dürfte den Wurm wenigstens etwas aufhalten und kostet gleichzeitig
nicht allzu viele Ressourcen. Klappt aber in der Form nur mit dem
Apachen (denn es geht davon aus, dass das aktuelle Verzeichnis das des
Skriptes ist - zumindest, dass es immer dasselbe ist und dass das Skript
immer Schreibrechte darauf hat). Es wäre vielleicht sinnvoll, die lock-
und pid-Datei woanders hin zu verlagern (/tmp?).
--
Warum solltest du JavaScript abschalten?
Lies einfach http://www.fthode.de/ - dann weißt du, warum.
Jens Kubieziel
> 217.82.194.8 - - [28/Jul/2002:22:21:26 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
> aufzurufen, die IP-Adresse des Anfragers sofort gesperrt wird?
> Irgendwelche Ideen?
Was hat das mit Linux zu tun? Warum willst Du Dich überhaupt darum
kümmern?
man htaccess
man httpd.conf
--
Jens Kubieziel
Der Verstand kann ein Held sein, die Klugheit ist meistens ein Feigling.
Marie von Ebner-Eschenbach
Robin S. Socha
> ich habe Suse Linux 7.3 zusammen mit dem Apache laufen.
> In meinen logfiles finden sich täglich Angriffsversuche wie:
>
> 217.82.194.8 - - [28/Jul/2002:22:21:26 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
Wo genau siehst Du einen Angriff? Ich sehe einen standardkonformen
Zugriff auf eine nicht vorhandene Seite.
> Ich gehe mal davon aus, dass diese Angriffe von irgendwelchen Tools
> kommen, die das Internet nach offenen Servern absuchen.
Nein. Sie kommen in den allermeisten Fällen von Idioten mit Windows und
Internet Explorer sowie Outlook Express, die Schadprogramme installiert
haben, weil sie keine Ahnung von Technik haben. Leuten wie Dir also.
> Die Angriffe richten sich hauptsächlich an Windows-Rechner.
Nein. Sie vernichten Bandbreite. Meine Bandbreite. Warum genau
verwendest Du noch einmal Software von Microsoft?
> Kann ich irgendwie erreichen, dass bei einem Versuch cmd.exe aufzurufen,
> die IP-Adresse des Anfragers sofort gesperrt wird?
Ja. Indem Du ein IDS verwendst, das mit Deinem Paketfilter redet. portsentry
z.B. oder Snort mit Zusatztools. Und wenn Du dann begriffen hast, was TCP/IP
ist, wirst Du wissen, warum Dich die Leute für einen Idioten halten. Es sei
denn, es ist Dein erklärtes Ziel, eine DoS auf Dich selbst zu fahren.
> Irgendwelche Ideen?
Schieß Dir hiermit[1] in den Fuß und komm erst wieder, wenn Deine Postings
den Ansprüchen an eine technische NG genügen. Dazu gehört, nicht die
Software zu verwenden, die ursächlich an der Entstehung des von Dir
lamentierten Problems Schuld trägt.
Footnotes:
[1] http://tb.tf/nimda-block/
Anselm Lingnau
> SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida|(.*)\dummies$ worm
> CustomLog /var/log/httpd/access_log combined env=!worms
Das müßte wohl in beiden Fällen entweder »worm« oder »worms« heißen.
Anselm
--
Anselm Lingnau .......................................... ans...@strathspey.org
In dreams and in love there are no impossibilities. -- János Arany
Michael Raab
> Michael Raab <mr...@macbyte.info> schrieb:
>
> > SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida|(.*)\dummies$
> > worm CustomLog /var/log/httpd/access_log combined env=!worms
>
> Das müßte wohl in beiden Fällen entweder »worm« oder »worms« heißen.
Hast Recht. Es heißt in beiden Fällen worms. Das "s" wurde bei Copy +
Paste wohl nicht markiert. ;)
BYe Michael
--
Turn your Pentium into a Gameboy: Type WIN at C:\>
Helmut Hullen
Du (skoser) meintest am 04.08.02:
> Kann ich irgendwie erreichen, dass bei einem Versuch cmd.exe
> aufzurufen, die IP-Adresse des Anfragers sofort gesperrt wird?
Klar. Dazu mußt Du nur ein Skript basteln.
Effektiver dürfte aber sein, den jeweils zuständigen Provider zu
informieren.
Viele Gruesse!
Helmut
Eugen Ernst
> Schieß Dir hiermit[1] in den Fuß
Achtung, hier versucht ein Windowsfanatiker durch gezielte Flames die
Diskussionskultur in den Linuxforen zu stören.
mfg
Eugen
Immo 'FaUl' Wehrenberg
Ja, macht aber nichts, dafuer hat man ein Killfile. Bist du der selbe Eugen
wie im Heiseforum?
However, *PLONK*
FaUl
end
This article does not support incompatible and broken newsreaders.
--
[Felix von Leitner in dcsm]
SuSE verscheuert eine Bastardisierung eines zusammenkopierten
Softwarehaufens, wo zufällig auch der Linux Kernel drin vorkommt.
Joern Seemann
> Achtung, hier versucht ein Windowsfanatiker durch gezielte Flames die
> Diskussionskultur in den Linuxforen zu stören.
Nein, nur ein Mensch ohne soziale Kompetenz - einfach ignorieren.
Gruss Jörn
--
Wir ertrinken in Information, aber hungern nach Wissen - John Naisbitt