Da ich mit meiner "sonne" nur selten Netz bin habe ich bisher auf Security-Updates verzichtet. Wahr wohl ein Fehler. Als ich vorhin im Netz war bekam ich ploetzlich:
"Message from syslogd@sonne at Sun Mar 25 13:01:41 2001 ... sonne "
In syslog fand ich:
Mar 25 13:01:41 sonne 173>Mar 25 13:01:41 /sbin/rpc.statd[151]: gethostbyname error for ^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y <F7><FF><BF>^Z<F7><FF><BF>^Z<F7><FF><BF>^[<F7><FF><BF>^[<F7><FF><BF <90><90><90><90> ..... [schnibbel]
Und mein ip-logger (ippl):
Mar 25 13:01:37 sunrpc connection attempt from 203.126.106.110 (203.126.106.110:3861->217.50.96.210:111)
Am System wurde anscheinend nichts veraendert.
Werde mir mal ein firewall-script schreiben das keine eingehende Verbindungen zulaesst.
ciao
Am Sun den 25 Mar 2001 um 09:20:55PM +0200 schrieb Thomas Guettler:
Da ich mit meiner "sonne" nur selten Netz bin habe ich bisher auf Security-Updates verzichtet. Wahr wohl ein Fehler. Als ich vorhin im Netz war bekam ich ploetzlich:
"Message from syslogd@sonne at Sun Mar 25 13:01:41 2001 ... sonne "
Da hat wohl jemand den rpc.statd exploit auf deine sparc losgelassen. Auch wenn jetzt gleich jemand mit Steinen werfen will:
Solaris ist davon überhaupt nicht betroffen, sondern ausschließlich Linux. http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1480
In syslog fand ich:
Mar 25 13:01:41 sonne 173>Mar 25 13:01:41 /sbin/rpc.statd[151]: gethostbyname error for ^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y <F7><FF><BF>^Z<F7><FF><BF>^Z<F7><FF><BF>^[<F7><FF><BF>^[<F7><FF><BF <90><90><90><90> ..... [schnibbel]
Ich glaube du mußt noch die nächste Zeile mitposten, denn die ist interessanter (man sieht, ob es gefunzt hat oder nicht).
Und mein ip-logger (ippl):
Mar 25 13:01:37 sunrpc connection attempt from 203.126.106.110 (203.126.106.110:3861->217.50.96.210:111)
Sowas findet man fast täglich auf unserer Kiste. Scheint ein Volkssport zu sein aber der bind Port ist noch beliebter ;-)
Werde mir mal ein firewall-script schreiben das keine eingehende Verbindungen zulaesst.
Hat jemand eine gute Idee für ein Programm, was man an diesen Port lauschen lassen könnte, um etwas Rabatz auf der anderen Seite zu erzeugen?
andre
On Mon Mar 26, 2001 at 15:49:35 +0200, Andre Schulze wrote:
Am Sun den 25 Mar 2001 um 09:20:55PM +0200 schrieb Thomas Guettler:
Mar 25 13:01:41 sonne 173>Mar 25 13:01:41 /sbin/rpc.statd[151]: gethostbyname error for ^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y <F7><FF><BF>^Z<F7><FF><BF>^Z<F7><FF><BF>^[<F7><FF><BF>^[<F7><FF><BF <90><90><90><90> ..... [schnibbel]
Ich glaube du mußt noch die nächste Zeile mitposten, denn die ist interessanter (man sieht, ob es gefunzt hat oder nicht).
Wenn man diese Zeilen im Log sieht, hat es nicht funktioniert.
(Wenn der exploit funktioniert haette und darueber was in den Logfiles steht, waere was faul...)
Adam
On Mon, Mar 26, 2001 at 03:49:35PM +0200, Andre Schulze wrote:
Am Sun den 25 Mar 2001 um 09:20:55PM +0200 schrieb Thomas Guettler:
Da ich mit meiner "sonne" nur selten Netz bin habe ich bisher auf Security-Updates verzichtet. Wahr wohl ein Fehler. Als ich vorhin im Netz war bekam ich ploetzlich:
"Message from syslogd@sonne at Sun Mar 25 13:01:41 2001 ... sonne "
Da hat wohl jemand den rpc.statd exploit auf deine sparc losgelassen.
Sorry, Verwechslung. Der Rechner heisst "sonne", ist aber eine Intel-Buechse.
Adam meinte, dass der Exploit nicht erfolgreich war, wenn man die Zeile im Log sieht. Wie hat er es aber geschaft eine Message per syslog zu verschicken?
Hat jemand eine gute Idee für ein Programm, was man an diesen Port lauschen lassen könnte, um etwas Rabatz auf der anderen Seite zu erzeugen?
Die Idee ist gut. Folgendes fand ich in der Man-page:
-o, --output [maxsize] Copy matching packets to the userspace device. This is currently mainly for developers who want to play with firewalling effects in userspace. The optional maxsize argument can be used to limit the maximum number of bytes from the packet which are to be copied. This option is only valid if the kernel has been compiled with CONFIG_IP_FIRE WALL_NETLINK set.
Leider steht im IPChains-HOWTO nichts ueber die genaue Verwendung. Erinnere mich, habe vor kurzem einen Artikel ueber Netfilter gelesen ( 2.4.x), dass es dort die Moeglichkeit gibt, im Userspace die Packete weiter zu verarbeiten.
Hatte schon laenger die Idee, bei unwerwuenschen Zugriffen mit einem Portscan zu antworten. Hat jemand so etwas schon mal gemacht/gesehen?
On Wed Mar 28, 2001 at 22:15:06 +0200, Thomas Guettler wrote:
Adam meinte, dass der Exploit nicht erfolgreich war, wenn man die Zeile im Log sieht. Wie hat er es aber geschaft eine Message per syslog zu verschicken?
Der syslog hat das wohl selber verschickt.
Hatte schon laenger die Idee, bei unwerwuenschen Zugriffen mit einem Portscan zu antworten. Hat jemand so etwas schon mal gemacht/gesehen?
Lass es. Wer sagt Dir, dass vor dem Rechner, von dem der Connect kommt, das(?) Scriptkiddy sitzt? Die Rechner sind meist auch gehackte Systeme. Und dann gibt's ja noch dyn. IP's, das stoert die dann ueberhaupt nicht, wenn Du so eine Aktion machst. Verwende Deine Zeit sinnvoller, indem Du die Software auf dem aktuellen Stand haelst oder vielleicht auch eine Firewall aufsetzt.
Adam
Adam Lackorzynski (al10@inf.tu-dresden.de) wrote:
AL> Lass es. Wer sagt Dir, dass vor dem Rechner, von dem der Connect kommt, AL> das(?) Scriptkiddy sitzt? Die Rechner sind meist auch gehackte Systeme. AL> Und dann gibt's ja noch dyn. IP's, das stoert die dann ueberhaupt nicht, AL> wenn Du so eine Aktion machst. AL> Verwende Deine Zeit sinnvoller, indem Du die Software auf dem aktuellen AL> Stand haelst oder vielleicht auch eine Firewall aufsetzt.
Deja vu ... !!
lug-dd@mailman.schlittermann.de
-
Adam Lackorzynski -
Andre Schulze -
Andreas Reich -
Thomas Guettler