On Mon, Mar 26, 2001 at 03:49:35PM +0200, Andre Schulze wrote:
Am Sun den 25 Mar 2001 um 09:20:55PM +0200 schrieb Thomas Guettler:
Da ich mit meiner "sonne" nur selten Netz bin habe ich bisher auf Security-Updates verzichtet. Wahr wohl ein Fehler. Als ich vorhin im Netz war bekam ich ploetzlich:
"Message from syslogd@sonne at Sun Mar 25 13:01:41 2001 ... sonne "
Da hat wohl jemand den rpc.statd exploit auf deine sparc losgelassen.
Sorry, Verwechslung. Der Rechner heisst "sonne", ist aber eine Intel-Buechse.
Adam meinte, dass der Exploit nicht erfolgreich war, wenn man die Zeile im Log sieht. Wie hat er es aber geschaft eine Message per syslog zu verschicken?
Hat jemand eine gute Idee für ein Programm, was man an diesen Port lauschen lassen könnte, um etwas Rabatz auf der anderen Seite zu erzeugen?
Die Idee ist gut. Folgendes fand ich in der Man-page:
-o, --output [maxsize] Copy matching packets to the userspace device. This is currently mainly for developers who want to play with firewalling effects in userspace. The optional maxsize argument can be used to limit the maximum number of bytes from the packet which are to be copied. This option is only valid if the kernel has been compiled with CONFIG_IP_FIRE WALL_NETLINK set.
Leider steht im IPChains-HOWTO nichts ueber die genaue Verwendung. Erinnere mich, habe vor kurzem einen Artikel ueber Netfilter gelesen ( 2.4.x), dass es dort die Moeglichkeit gibt, im Userspace die Packete weiter zu verarbeiten.
Hatte schon laenger die Idee, bei unwerwuenschen Zugriffen mit einem Portscan zu antworten. Hat jemand so etwas schon mal gemacht/gesehen?