Ze blijven het proberen
Willy Schulte
dit soort gefreubel (wat voor velen nog steeds erg schadelijk is) aan de
kaak te stellen ?
----- Original Message -----
From: Willy Schulte
To: david....@sciessence.com
Sent: Thursday, August 23, 2001 9:15 PM
Subject: Attaque attempt from your site.
Dear Mr. Rivkin,
Look at the next part of logging of my server:
#Version: 1.0
#Date: 2001-08-23 01:17:56
#Fields: time c-ip cs-method cs-uri-stem sc-status
01:17:56 216.102.44.162 GET /scripts/../../winnt/system32/cmd.exe 401
01:17:57 216.102.44.162 GET /scripts/..\../winnt/system32/cmd.exe 401
01:17:59 216.102.44.162 GET /scripts/..チ%pc../winnt/system32/cmd.exe 401
01:18:01 216.102.44.162 GET /scripts/..タ%9v../winnt/system32/cmd.exe 401
01:18:02 216.102.44.162 GET /scripts/..タ%qf../winnt/system32/cmd.exe 401
01:18:03 216.102.44.162 GET /scripts/..チ%8s../winnt/system32/cmd.exe 401
01:18:04 216.102.44.162 GET /scripts/..チ ../winnt/system32/cmd.exe 401
01:18:06 216.102.44.162 GET /scripts/..\../winnt/system32/cmd.exe 401
01:18:07 216.102.44.162 GET /scripts/..o../winnt/system32/cmd.exe 401
01:18:09 216.102.44.162 GET /scripts/../../winnt/system32/cmd.exe 401
01:18:10 216.102.44.162 GET /scripts/..�?ッ../winnt/system32/cmd.exe 401
01:18:12 216.102.44.162 GET /scripts/..�??ッ../winnt/system32/cmd.exe 401
01:18:13 216.102.44.162 GET /scripts/..�???ッ../winnt/system32/cmd.exe 401
01:18:18 216.102.44.162 GET /msadc/../../../../../../winnt/system32/cmd.exe
401
The ip-address used refers to:
C:\>nslookup 216.102.44.162
Server: ns.s340.xs4all.nl
Address: 194.109.104.104
Name: adsl-216-102-44-162.dsl.snfc21.pacbell.net
Address: 216.102.44.162
Starting an internet browser to the ip-address leads me to the site of
SciEssence, from where I retrieved your asdress.
Now my question: do you think this is normal behaviour by your company ? Or
is someone freaking ?
Whatever, I'm not amused. That it doesn't harm me is of no importance, but I
pity all those who are harmed by this behaviour. Because of this I assume
you will take your measures to prevent this in future.
With kind regards, Willy Schulte.
PS. This message will also be placed in a dutch newsgroup about internet
abuse. A reaction will also be placed there.
Jeroen Wijnands
pacbell? Forget it!
Doet me vaag denken aan code red maar die msdac poging doet me eerder
denken aan een van die generieke hack iis tooltjes.
Anyway, kan je je firewall die pakketjes niet laten droppen voordat ze
bij de webserver komen?
--
Met vriendelijke groeten/Best Regards
Jeroen Wijnands
http://ratten.pagina.nl
http://www.xs4all.nl/~wijnands
-- 80% spam kill ratio since december 1995 --
J.M. Althoff
>Bijgaande message is net verzonden. Misschien is er een betere methode om
>dit soort gefreubel (wat voor velen nog steeds erg schadelijk is) aan de
>kaak te stellen ?
>01:17:56 216.102.44.162 GET /scripts/../../winnt/system32/cmd.exe 401
Exploit tooltje voor de kiddies:
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
http://www.cert.org/advisories/CA-2001-11.html
>Now my question: do you think this is normal behaviour by your company ? Or
>is someone freaking ?
>Whatever, I'm not amused. That it doesn't harm me is of no importance, but I
>pity all those who are harmed by this behaviour. Because of this I assume
>you will take your measures to prevent this in future.
>PS. This message will also be placed in a dutch newsgroup about internet
>abuse. A reaction will also be placed there.
Ik acht de kans zeer klein dat meneer Rivkin van zijn stoel
opspringt om orde op zaken te stellen en van the announcement
in deze nieuwsgroep zal hij zeker onder de indruk zijn ;-)
----
J.M. Althoff,
e-mail : replace "devnull" with "scouty" for my address
photo portfolio : http://www.althoffcentral.com
scouting web : http://users.scoutnet.nl/~cycloon
nl.scouting FAQ : http://www.bromberg.demon.nl/nl.scouting
Code Red hall of SHAME, A tribute to all those system
administrator wannabe's http://www.bromberg.demon.nl/codered
Rene Bakker
het kan de meesten zelfs geen donder schelen zo lijkt het..
--
Met vriendelijke groet,
Rene Bakker
Raptornet Internet Services
Rene Bakker
news:ulccotssdedrquj0r...@4ax.com...
> >imho sowieso een probleem, men is te laks met het updaten van systemen,
en
> >het kan de meesten zelfs geen donder schelen zo lijkt het..
> Dat zie ik hier op de universiteit ook. Bij degenen die op de campus
> wonen wordt de switchpoort uitgezet als CR wordt gedetecteerd. Die
> rennen wel om een cleanflop op te halen. Voor kabelaars en ADSL-ers
> wordt alleen een blokkade voor uitgaande http opgezet, want binnen dat
> netwerk is onderling verkeer officieel niet mogelijk.
>
> Maar daarvan heb ik nog niemand om een flop zien smeken. Tot ik
> gistermiddag alle toegang op de router heb geblokkeerd. Nu staan ze in
> de rij.
Het zou mooi zijn als er op meer universiteit beheerders bezig zouden zijn
het probleem aan te pakken. Voor zover ik zaken heb gezien gebeurt het niet
vaak op een universiteit dat er een beheerder rondloopt die zich iets
aantrekt van security. Bij deze een compliment ;-)
Willy Schulte
----- Original Message -----
From: "David Rivkin" <david....@sciessence.com>
To: "Willy Schulte" <w.a.s...@hetnet.nl>
Sent: Saturday, August 25, 2001 2:09 AM
Subject: Re: Attaque attempt from your site.
> We are sorry to hear that you are having problems, but it not due to our
> staff.
> We too have been attached and spoofed as PacBell is famous for allowing
> to happen. We have descided to reduce our appearance on the Internet
> and do some extensive upgrades to OSs and servers to help prevent
> attackers from attacking our systems. We can not prevent IP spoofing
> however.
>
> WebTeam, SciEssence
>
Voor wat het waard is natuurlijk. Is in ieder geval geen vergelijk met wat
Peter Peters doet, dat is het betere werk !
Toch blijft bij mij de vraag zeuren: hoe kan je dit soort gekleuter
aanpakken ? De bron is vaak erg moeilijk aan te pakken (als je die al te
weten komt). En natuurlijk krijg ik nu de reactie dat ik beter kan ophouden
met het opvoeden van mensen, maar laten we wel wezen: ze verstieren het voor
heel wat anderen. Hoewel ook meer mensen zich bewust zouden moeten zijn, dat
ze hun systeem uptodate moeten houden (eh, als ik daar over na denk, dringt
de vergelijking zich op, dat iedereen die naar buiten gaat moet zorgen dat
zijn bewapening tiptop in orde is en bij de tijd ... tenslotte neemt de
bewapening van de straatrovers ook toe ! Dit gaat dus niet op, omdat we daar
als maatschappij wat op gevonden hebben en deze straatroverij redelijk
efficient de kop in drukken).
Maar goed, nu eerst maar eens de zaterdag starten.
Erik Warmelink
"Rene Bakker" <re...@raptornet-is.net> writes:
> "Peter Peters" <P.G.M....@civ.utwente.nl> wrote in message
> news:ulccotssdedrquj0r...@4ax.com...
>> Maar daarvan heb ik nog niemand om een flop zien smeken. Tot ik
>> gistermiddag alle toegang op de router heb geblokkeerd. Nu staan ze in
>> de rij.
>
> Het zou mooi zijn als er op meer universiteit beheerders bezig zouden zijn
> het probleem aan te pakken. Voor zover ik zaken heb gezien gebeurt het niet
> vaak op een universiteit dat er een beheerder rondloopt die zich iets
> aantrekt van security. Bij deze een compliment ;-)
Dit gaat niet alleen om security (want dan zou je Windows verbieden),
maar ook om overlast die je voor anderen veroorzaakt.
--
http://home.worldonline.de/home/leggewie/EU-Spam-Initiative.htm
Rene Bakker
news:vek9m9...@erik.selwerd.nl...
> In article <0oc6m9...@fe100-2-2.aurora.vld-ix.net>,
> "Rene Bakker" <re...@raptornet-is.net> writes:
> > "Peter Peters" <P.G.M....@civ.utwente.nl> wrote in message
> > news:ulccotssdedrquj0r...@4ax.com...
zijn
> > het probleem aan te pakken. Voor zover ik zaken heb gezien gebeurt het
niet
> > vaak op een universiteit dat er een beheerder rondloopt die zich iets
> > aantrekt van security. Bij deze een compliment ;-)
>
> Dit gaat niet alleen om security (want dan zou je Windows verbieden),
> maar ook om overlast die je voor anderen veroorzaakt.
Dat is inderdaad meer waar ik op doel. Security issues die het mogelijk
maken om anderen bewust dan wel onbewust lastig te vallen (Zoals bijv. met
CR kan, maar ook op vele andere manieren). En dus niet op alle
universiteiten is het zo dat er een wakkere BOFH rondloopt ;-/
Erik Warmelink
"Rene Bakker" <re...@raptornet-is.net> writes:
> "Erik Warmelink" <er...@flits102-126.flits.rug.nl> wrote in message
> news:vek9m9...@erik.selwerd.nl...
>> Dit gaat niet alleen om security (want dan zou je Windows verbieden),
>> maar ook om overlast die je voor anderen veroorzaakt.
>
> Dat is inderdaad meer waar ik op doel. Security issues die het mogelijk
> maken om anderen bewust dan wel onbewust lastig te vallen (Zoals bijv. met
> CR kan, maar ook op vele andere manieren). En dus niet op alle
> universiteiten is het zo dat er een wakkere BOFH rondloopt ;-/
Ik zit in 129/8, daar zitten redelijk wat universiteiten en toch komen
de meeste CodeRed probes *of* van commerciele providers *of* van
een machine binnen 129.125/16, die dan redelijk snel afgesloten wordt.
(Van de eerste 16 C-blokken zijn er 12 of 13 van universiteiten,
129.14/16 is een twijfelgeval).
Van universiteiten krijg ik meestal antwoord van een mens als ik een
probleem gemeld heb, van commerciele providers hooguit een
ignore-o-gram; en het maakt niet uit of het om email-spam, usenet-spam,
portscanning, pogingen tot cracken of wat dan ook gaat.
Dat het uit blijkt te kunnen om een auto-reply op te stellen, zegt
mij genoeg.
Ik ben wel redelijk tevreden met
<http://www.incidents.org/cid/search_result.php?source=129.125.*>,
als 6 van de 20 laatste "incidents" een query naar de ident-port zijn,
doet de RuG het vrij aardig IMHO.
--
http://home.worldonline.de/home/leggewie/EU-Spam-Initiative.htm
Julius
| Dit gaat niet alleen om security (want dan zou je Windows verbieden),
En Linux. En Cobalt RaQ.
--
Julius
http://jult.net
http://jthz.com
Julius
| Dat is inderdaad meer waar ik op doel. Security issues die het mogelijk
| maken om anderen bewust dan wel onbewust lastig te vallen (Zoals bijv. met
| CR kan, maar ook op vele andere manieren). En dus niet op alle
| universiteiten is het zo dat er een wakkere BOFH rondloopt ;-/
Als ik zie hoe weinig verstand de gemiddelde afdeling personeelszaken
heeft van het aannemen van de juiste mensen voor de juiste job,
op IT/computer/internet gebied, in general bedoel ik,
(XS4ALL misschien uitgezonderd, maar dat is exceptioneel)
dan verbaast het mij niets dat ik per random host iets van
3 default.ida?XXX etc. aanroepen per uur zie langskomen.
Als ik ervaar op welke gronden men mij al hier en daar
heeft gehoopt te kunnen afwijzen als zijnde ongeschikt
voor deze of die job in de IT, dan zeg ik op mijn beurt:
Laat ze maar lekker failliet gaan aan hun klote-personeel,
hun flut-security en hun wanbeleid, hun domheid en hun
gebrek aan mensenkennis vooral. Voor die types werken
is het niet eens waard, ze hebben nog niet de geringste
kennis van zaken, sturen je emails met een onbeveiligde
Outlook Express, in HTML, waarin ze bovenaan jouw
sollicitatie dingen durven te veronderstellen als
"u heeft geen aantoonbare werkervaring op dit gebied"
zonder dat er 1 aanroep van betreffende club te zien is
in de log van je /cv.htm of website(s), of anderszins
verder is gekeken dan hun neuzen lang zijn.
En maar personeel zoeken, en maar doen alsof dat
zo moeilijk te vinden is, pff, give me a break.
"Leer eerst maar eens wat van het leven!" denk ik dan,
laat ze maar bedolven worden onder de viri en security-
holes. Laat de budgetten er maar volledig door opraken.
Dat durft zich systeembeheer of I(C)T 'bedrijf' te noemen,
laat me niet lachen.