14. februar 2003 - 22:11Der er
39 kommentarer og 4 løsninger
Uventede gæster
jeg har lige fået Norton Internet Security og fik at vide at der er en der har forsøgt at komme ind på min maskine. Jeg har nogle oplysninger om han, da jeg har hans IP, og jeg fandt ud af han bruger Telia Stofa og han er fra Århus.
Er det noget man gører noget ved? og hvis man melder det bliver der så gjordt noget ved det?
tja hvis du kan bevise han har været inde på din maskine så kan du kontakte det lokle politi og anmelde en hacker, og desuden bør du kontakte telia, med hensyn til dette.
PS. det er ikke sikkert politiet gør noget ved det men da hacking er en alvorlig sag, og da man gør meget for at forsikre og sikre dataforbindelserne, og gør kunderne opmærksomme på at internette er sikkert at være/handle på vil det næsten sikkert blive gjort noget. men mit råd er at kontakte det lokale politi med det samme, og anmeld et forsøg på datatyveri.
P.s. du skriver: "jeg har lige fået Norton Internet Security og fik at vide at der er en der har forsøgt at komme ind på min maskine." det vil altså sige at han blev stoppet og så er der intet kriminelt sket, så drop anmeldelsen - du får sikkert intet ud af det. Du kan kontakte Stofanet med de oplysninger du har, så overtager de sagen og får fat i manden.
Som du selv skriver i dit spørgsmål: En har FORSØGT at komme ind på din pc. Det vil du opleve rigtig mange gange, men idet du nu har været så fornuftig at opsætte en firewall, så er det ikke særlig nemt at komme ind. Langt de fleste angreb kommer kun til døren, og så sørger din firewall for at de ikke når længere, det er jo det som er hele ideén.
Når man er tilkoplet internett så må man regne med å bli portscannet flerfoldige ganger uten at dette er noe å bry seg om.
Når man er tilkoplet internett så er man jo tilkoplet hele verden og i henhold til en del lands lovgivning og rettspraksis så er det helt lovlig å legalt å gjennomføre portscanning. (I andre land så kan dette være forbudt.)
Det forholder seg også slik at mange softwareprodusenter faktisk utstyrer sine produkter med "reklamebannere" som kommer til syne hos den som scanner. Når den som scanner "ser" at det kjører en webserver på en host/ip så vil han ofte ikke bare se at det finnes en web server, men også hva slags webserver det dreier seg om og ofte også operativsystem og hvilke tillegsmoduler som er installert. Sikkerhetsmessig så er dette kanskje ikke helt ønskelig (for brukeren) men de som produserer software vurderer at det å markere markedsanndeler og det å reklamere for produktet er viktigere enn sikkerheten, slik at man merkelig nok bokstavelig talt hjelper "ekte hackere" på vei.
En scanning kan enten være gjennomført som en scanning "som går i dybden" mot ett enkelt mål eller det kan motsatt dreie seg om "sweepscan" over en range av ip adresser, der man i løpet av noen minutter samler sammen informasjon om mange "targets" samtidig.
Man vil for eksempel ved bruk av scanneverktøy kunne undersøke følgende: Hvor mange prosent av brukerne hos xyz adsl leverandør er det som har web server installert ? Hvor mange prosent av disse er det som benytter operativsystem a og hvor mange er det som benytter operativsystem b ? "Targets" vil i den forbindelse kunne bli plukket eller valgt over hele verden.
Den datatrafikken som dette genererer hos hvert enelt "mål" vil være absolutt minimal men den vil vel godt kunne detekteres av enkelte firewalls som et "angrep" eller "forsøk på inntregning".
Det å se på en bygning og så telle det anntall dører og vinduer som man kan observere kontra det å virkelig forsøke å bryte seg inn er vel ellers i praksis to ganske forskjellige ting. Man vil vel kunne se ganske mange dører og vinduer hvis man spaserer gjennom byen, men det er vel ikke derved sagt at man vil bryte seg inn i de alle sammen.
Enkelte slike "sweep scan" kan allikevell være ondsinnede. Det kan være at man for eksempel er innbrudsspesialist, at man for eksempel har en bestemt type operativsystem eller spesielle servertyper som sitt spesiale. Da kan det godt være aktuelt å kartlegge hvilke det er som ser ut til å være godt egenet for innbrudd.
Når så anngrepet eventuelt kommer så vil dette "normalt" måtte pågå over litt tid og det vil også "normalt" medføre en hel del flere alarmer. Et unntak er hvis det dreier seg om helt nye sikkerhetshull som "noen" har oppdaget ved en programvare. Da kan angrepene skje raskt og effektivt. Eksempelvis så var det jo nå nylig et virus som spredde seg til mange tusen maskiner verden over, der dette var laget spesiellt for å utnytte et til da ukjent sikkerhetshull i Microsoft SQL database server.
En portscan er vanligvis meget enkel å utføre og den kjører også automatisk hvis man har rett programvare, så det at man har blitt scannet, det behøver ikke å bety særlig mye.
Et reelt angrep eller faktisk gjennomføring at et "anngrep" ved at man faktisk logger seg inn på og får kontroll over en fremmed computer det mener jeg i fleste tilfeller faktisk vil være ganske vanskelig og arbeids og tidskrevende å gjennomføre, med mindre da brukerkontoer og passord har kommet på avveie samtidig som man har server funksjoner som er tilgjengelig via internett.
Han prøvede lige igen. (første gang 18.48 og anden 22.11)
Besked fra NIS:
Attempted Intrusion "IIS_CGI_Decode_Command_Execution" against your machine was detected and blocked Intruder: 62.107.8.21(1317) Risk Level: Medium Protocol: TCP Attacked IP: wipe-out(min ip). Attacked Port: http(80)
Jeg tængte nok at der ikke ville være nogen sag, da han ikke har nået længere. Men det kunne være at jeg skulle kontakte Stofanet.
Kunne det være at det ikke var noget angreb, men bare at det var et af mine programmer han kom ind igennem?
Jeg synes personlig at denne typen reklame som produsentene av software legger inn for at den skal framkomme ved scanning og på andre spesielle måter er ganske uheldige fordi det kan fortelle hackere om hvordan en maskin kan angripes. For de som driver med hacking så er det vel ganske elementært å hente ut disse opplysningene og de kommuniseres ved scanning og ved forsøk på pålogginger og helt ordinære weboppslag.
Attempted Intrusion "IIS_CGI_Decode_Command_Execution" against your machine was detected and blocked
Vil tro at dette kan være et automatisert angrep sansynligvis fra en virus eller trojan infisert maskin. Det kan for så vidt være "noe" men det er ikke sikkert at den som eier maskinen vet om det.
"Angrepet" er rettet mot post 80, dvs web server porten. Hvis du ikke kjører web server av type Microsoft så skulle det ikke være så mye å frykte.
Dersom du eventuelt har en Microsoft Webserver kjørende så ser det ut som om denne er under et lite forsøk på angrep.
Hmm, jeg brugte en gang blackice firewall og fik et ton af sådan nogle beskeder... Vil vove at påstå at det enten er en hacker som bare laver en bred portscanning eller også bare et tilfælde...Du er vel ikke selv fra Århus?? ;)
Hvis dette gjentar seg, (eller kanskje uansett) altså denne typen log entries så kan du med fordel melde fra om dette til den som eier nettverket, altså adsl leverandøren, men da må du også sende teksten fra loggen din.
Det ser ut som om noen eller (en infisert PC) forsøker å kjøre illegale kommandoer mot din port 80 (Hvis du ikke har web server eller noe på port 80 så er ikke dette noe problem).
Dersom det dreier dseg om en infisert meskin som gjør dette automatisk så gjør den det nok i forhold til mange andre også, slik at det vil være en stor fordel for den som eier maskinen å få beskjed.
Vanligvis så vet man jo ikke hvem dette er, men man vet hvem som eier linjen og denne kan gi beskjed videre.
Men denne får vel bare ikke bli helt "normal": "Attempted Intrusion "IIS_CGI_Decode_Command_Execution" ???
Ikke 100 % sikert eller godt å vite, men det finnes i hvert fall Trojanske hester og virusliknende ting som opptrer på denne måten så det skulle ikke skade å gi beskjed.
Vet ikke 100 % at dette er noe angrep, men det er i hvert fall ikke en ordinær scanning !!
Jeg har kun haft NIS i en uge så det er sku lidt svært at finde ud af hvad man skal tage seriøst og hvad man ikke skal. Men jeg har overhovede ikke fortrud at jeg har betalt penge for det. Det er først nu jeg ser hvormeget (undskyld mig) pis der køre ud og ind.
Sitter ikke på detaljer her og nu og husker dem slettes ikke men dette likner vel på at "noen" forsøker å eksekvere (utføre) en system kammando via cgi script, tror jeg. Altså forsøke å utnytte eventuelle sikkerhetshull i den Microsoft web server som eventuelt måtte være det. Dette er vel en forholsdvis vanlig spredningsmekanisme for en del virus og trojanere, men for all del det kan vel godt være noe helt annet.
Har elles hatt temmelig ganske mange forsøk på slike angrep mot min web server, har sluttet å telle. De likner litt på dine log entries, men ettersom angrepene gjennomgående har vært rettet mot Microsoft Internet Information server og jeg selv kjører Apache på Linux så har jeg aldrig brudd meg noe større. Har aldri meldt fra og regner det som rimelig "normalt" å bli "angrepet" på denne måte også.
Det udførte "angreb" har altså forsøgt at udnytte en fejl i MS IIS 5 (Windows 2000).
Der vil umiddelbart være 2 sandsynlige årsager til et sådan angreb: 1) "Angriberens" PC er inficeret med en virus, der spreder sig ved at udnytte ovenstående fejl i IIS 2) "Angriberen" er en hacker.
Hvis man ikke er 100% idiot(tm), så hacker man ikke fra sin egen IP adresse (i hvert fald ikke med TCP traffik), så med stor sandsynlighed er det "bare" en virus, der førsøger at sprede sig.
Under den senere tids virus "storme", er antallet af sådanne forsøg meget store. Her taler vi om alt fra 1 til flere tusinde forsøg om dagen. Tallet er naturligvis proportionalt med antallet af inficerede maskiner på Internettet.
Hvis du har mulighed for at se det originale HTTP request og poster det her, kan nogen måske undersøge, om det kan identificeres som værende fra en virus eller det er ukendt.
Jeg ville dog ikke brugere mere tid på dette, og du vil formodentlig komme til at opdage vigtigheden af en firewall gennem mange flere lignende hændelser.
Generelt er min holdning vedr. brug af firewalls: Luk fra al unødvendig traffik i en firewall - både ind og udgående!
Dette er er vel sansynligvis eller godt mulig spredningsmekanismen til en del trojanere og slikt som står og kjører på infiserte maskiner rundt om i verden. Det er vel for så vidt også en del av det daglige .. takker for points. Stavanger, Norge her :-)
Well, som sagt blev jeg også meget stødt over det i starten, men fuckit...Det sker måske en gang om ugen, at der er en der prøver at bryde ind...Men du kan intet gøre ved det, bare glæde dig over, at dit program stopper dem!...;)
Interessant kommentar. Tok det hele litt på øyemål og gjettet litt, men du fant mere konkret info. Det er bra!!
Bare en liten ting, sitat: "Hvis man ikke er 100% idiot(tm), så hacker man ikke fra sin egen IP adresse"
IP trafikk er jo i prinsipp to veis trafikk der det å spoofe eller forfalske avsender adresser kan sammenliknes med å sende ut brev uten eller med falsk avsender .. Brevet kan kanskje gjøre "sin virkning" men man får ikke noe svar.
Hvis man skal gjennomføre et angrep som som forutsetter en to veis kommunikasjon så forutsetter dette at man har kontroll over og bruker en sann / ekte avsender ip. Enig ?? (Forsøker bare å lære og forstå disse tingene som har med datasikkerhet å gjøre og å "avlære" meg de tingene som jeg missforstår.)
Man kan da ikke ordne returen uten en sann avsender ip ???
Hey! Nu kommer jeg lige med en dum kommentar, for jeg ved sgu ikke så meget om dette emne, men jeg studsede lidt over IP-adressen på din ubudne gæst. Mig bekendt, så må der være tale om en "standard" stofa-adresse i Århus, for lige den adresse minder i betænkelig grad om MIN (læs=min hedder netop 62.107.8.21 så vidt jeg ved. Men jeg har altså ALDRIG været i nærheden af at beskæftige mig med hacking, så du behøver ikke frygte mig...:-)
Men det er måske de fire cifre i parentesen efter, der i virkeligheden identificerer ham (1317)? Altså at de første cifre er ens for alle stofa-kunder i Århus.... eller hvad?
Er det sådan, det hænger sammen med IP-adresser? Igen: jeg er lidt torskedum på dette felt. Ellers må det vel betyde, at det er en trojaner på MIN puter, der huserer? I så fald er jeg selvklart meget interesseret i at få dette at vide.
Det forholder seg slik at noen internettutbydere, (jeg vet ikke hva som gjelder for stofa net) benytter en felles ekstern ip for flere samtidige brukere. Dersom man går inn på for eksempel http://www.myip.dk så vil man kunne lese den samme eksterne ip.
Man kan for eksempel sette opp en hel biligblokk eller et borettslag som om det skulle være for eksempel en offentlig skole med kun en felles ekstern ip adresse.
Noen som vet om dette kan være tilfelle hos Stofanett ??
"Men det er måske de fire cifre i parentesen efter, der i virkeligheden identificerer ham (1317)? Altså at de første cifre er ens for alle stofa-kunder i Århus.... eller hvad?"
langbein> 100& rigtigt forstået. Dette er modsat UDP traffik, hvor afsender adressen ikke bruges til noget i forbindelse med selve trafikken. Det er også derfor, at man skal passe meget på, ikke at lave automatiske blokeringer for UDP angreb.
... Hvorfor? (tænker nogen måske) Derfor: Lad os betragte et firma A med en public webservice. Hvis en "ond" person ønsker at udelukke en eller flere personer (B1, B2 ... Bn), kan han (M/K) blot lave en række UDP angreb med spoofet afsender adresse, Bi (i=1..n), og herefter vil firewallen i firmaet have udelukket alle disse brugere :-(
Hvad så med TCP forbindelser? Kan de også spoofes? Ja og nej. Hvis der skal bruges tovejs kommunikation kan det ikke lade sig gøre, da svare til "angriberen" aldrig vil komme tilbage. Hvis angriberen kan udføre hele angrevet med 1 pakke, og er ligeglad med svaret (eks. DoS angreb), så er det naturligvis muligt. Dog er der svjv flere ISP'ere, der checker afsenderes IP adresse før IP traffik routes. Søg evt. på "tcp spoof" på google, og læs et par diskussioner eller artikler om emnet.
ermolenko> 62.107.8.21(1317) betyder formodentlig IP/(port), så hvis du er ejeren af IP nummeret, ville jeg nok foretage en virus scanning :-)Hvilket O/S kører du? Browser? Webserver?
langbein> "De 100% ..." var til din TCP/IP betragning - IKKE til idetifikationen.
Der kan (naturligvis) kun være 1 maskine, der har et offentligt IP nummer med mindre man kører gennem en proxy server.
Jeg kan nu ikke forestille mig, at Stofa kunder ikke har en offentlig IP adresse til hver tilslutning.
Det er klart, at 62.107.8.21 er en routable adresse, da den ikke ligger i en "private range": The 3 blocks of private addresses, as specified in IANA (Internet Assigned Numbers Authority) are:
ermolenko> ekstern ip og virtuel ip ... kan du ikke lige oplyse dine to IP numre? Kunne være spændende (geek(tm)) at lige få styr på hvordan Stofa gør det.
Ikke for noget jpvj, men jeg tror sgu ikke lige, at jeg har lyst til at køre mit ip-nummer ud her på eksperten. Det kan jeg ikke hjælpe dig med.
Men du kan sikkert læse om det på stofanet.dk Der mener jeg i hvert fald at have læst om det. Om ikke andet så står det i brugermanualen, og den er så vidt jeg ved også tilgængelig på nettet. Er blot lidt for træt til at finde den eksakte placering til dig nu. Det klarer du sikkert selv:P
jpvj -> takker for kommentar. Forsøker jo å lære noe hele tiden. (For eksempel hvordan sitte oppe hele natten i interessante diskusjoner når man egentlig skulle ha sovet.)
Men dette da: "Det er også derfor, at man skal passe meget på, ikke at lave automatiske blokeringer for UDP angreb."
Er dt vanlig, at firewall kan "huske" hvor den har blitt angrepet fra og så lukke dynamisk for "slemme avsendere". Har eksprimentert litt med Linux og firewalls der men har ikke funnet noen slik funksjon. Hvis dette skal være mulig så må det jo dreie seg om dynamisk utvikling og tilpasning av firewall rules, altså en slags "inteligent firewall" Finnes det virkelig ?? (Rent teknisk og prisnippielt så skulle jo dette prinsippet godt kunne fungere.)
Jeg bruger det selv under linux. Kig på portsentry :-)
Den har forskellige parametre, og du kan selv bestemme hvor "hidsig" den skal bære, eks. om den skal blokere en IP adresse, hvis der blot bliver forsøgt 1 connection til en port, hvor der ikke kører en offenlig service.
"ekstern ip og virtuel ip ... kan du ikke lige oplyse dine to IP numre? Kunne være spændende (geek(tm)) at lige få styr på hvordan Stofa gør det."
I en tidligere diskusjon her på eksperten så ble alle ip er lagt ut og konklusonen var at isp i dette tilfellet delte en felles ekstern ip på mange brukere. Dette vil i paksis si at isp faksisk kjører ut en lan struktur og ikke en wan struktur ut til sine brukere !!! (Må si jeg bel temmelig overrasket da jeg opserverte dette.)
Men jeg husker ikke om dette var stofanett eller noen andre.
"Virtuel ip" kan vel tyde på noe litt i den retning ???
Hvis man er kunde hos stofanet og hvis man har windows så bør man ved å kjøre flgende kommando i dos kunne se om det kjøres flere hopp på interne iper før man kommer fram til den eksterne:
As a second layer of defense, behind either ipchains or iptables. Packet filtering will catch the packets first, so that anything that gets to portsentry would indicate a misconfiguration.
iq-n -> Denne interessante diskusjonen sporet visst litt av fra det orginale ..
Jeg har ellers forsøkt å kjøre angrep/scanning fra den ene maskin mot den annen på mitt eget LAN i forbindelse med utesting av firewalls.
Disse angrepene har vært gjort med "automatiserte tools" beregnet for formålet.
En typisk scanning med "litt dybde" kan typisk ta opp mot en time og det havner typisk ca / størelsesorden 2000 entries om angrep i firewall log i løpet av denne timen. Firewall / PC har vanlig vis ikke noe problem med å stå mot dette på noen måte på noen måte som helst.
En eller to tre entries i løpet av en uke er sånn sett ikke spesielt mye. Det vil komme noe mer hvis det er snakk om en egentlig scanning.
Den type angrep som din maskin var / er utsatt for er ikke en scanning men et forsøk på å utnytte et sikkerhetshull i en web server som ikke finnes på din maskin. Sansynligvis så er avsender et ondsinnet program på en pc tilhørende en vennligsinnet person som ikke kjenner til at hans pc er infisert.
langbein> stofanet kører med intern IP og ekstern IP. Et eksempel: min eksterne IP er (ja den kan andre ikke bruge til en skid): 192.168.188.79 og min eksterne er 212.10.124.79 - så må du se hvad du kan få ud af det :)
Undskyld jeg blander mig, men her er et lille uddrag fra et security whitepaper jeg har skrevet omkring en helt anden firewall (BitGuard). Denne tekst tekst beskriver helt nøjagtig hvordan IP addresser og porte/protokoller hører sammen. (Den er på engelsk) Dersom der ofte er en del forvirring omkring emnet, håber jeg at dette vil kaste lidt lys over, hvordan IP traffik virker. (Der fulgte en tegning med, men denne site kan ikke vise tegninger, så vi må forbli uden).
The envelope:
Describing the dynamics in network traffic and how it works exactly can be complicated by the numerous of terms and abbreviations. But one method seems to be quite close to what actually happens: The envelope model.
If two machines want to talk to each other through a network, they need addresses, namely IP addresses. Lets assume that A has the IP address 1.2.3.4 and B has the IP address 5.6.7.8. Now, to talk to each other, the computers has to connect through a predefined protocol, and lets assume the TCP protocol. The TCP protocol has ports, so to start any communication, these machines (Or at least one, namely the server) must be listening to a port, in order to be able to “Pick up the phone” when it rings. Lets assume B is the server, and in this case listening to the port 80 (HTTP protocol).
Now, lets assume that A is a client wanting some information stored in the server B. To do that A initiates a connection with a query (Posting an envelope with a message to B). When B receives this envelope, it carries out that query, and send a response back to A with the result. (B looks at the backside of the envelope to retrieve the return address).
This scenario basically describes the nature of what is known as Client-Server model.
Lets repeat this scenario with some more specific IP details: An IP packet (among many other things) always contains a Source IP (The sender) and a Destination IP address (The receiver), similar to the addresses normally found on any envelope.
The TCP protocol used in this example in addition uses ports; a Source Port (The return port the sender expects the receiver to use when responding) and a Destination Port (The port the sender uses to knock on the door with).
A sends a query to B:
Source IP address: 1.2.3.4 Source Port: 1125 Destination IP Address 5.6.7.8 Destination Port 80
B responds back to A:
Source IP address 5.6.7.8 Source Port 80 Destination IP address 1.2.3.4 Destination Port 1125
Notice that the IP addresses and ports are reversed on return.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.