/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Mulig cracket apache
Fra : Michael Rasmussen


Dato : 15-05-07 20:35

Hej all,

Hvis en apache log fil (access log) indeholder registreringer som denne:
"\x13BitTorrent protocolex" 400 422 "-" "-" Kunne det så ikke indikere
en ulovlig indtrængen?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.

 
 
Kent Friis (15-05-2007)
Kommentar
Fra : Kent Friis


Dato : 15-05-07 20:39

Den Tue, 15 May 2007 21:35:12 +0200 skrev Michael Rasmussen:
> Hej all,
>
> Hvis en apache log fil (access log) indeholder registreringer som denne:
> "\x13BitTorrent protocolex" 400 422 "-" "-" Kunne det så ikke indikere
> en ulovlig indtrængen?

BitTorrent: En fildelings-protokol.

400: Bad Request.

Så log-indgangen fortæller blot at flg. udveksling har fundet sted:
"Davs, snakker du BitTorrent?"
"Nej, jeg snakker kun web".

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Klaus Ellegaard (15-05-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 15-05-07 20:47

Michael Rasmussen <mir@miras.org> writes:

>Hvis en apache log fil (access log) indeholder registreringer som denne:
>"\x13BitTorrent protocolex" 400 422 "-" "-" Kunne det s=E5 ikke indikere
>en ulovlig indtr=E6ngen?

Næ, umiddelbart ligner det bare nogen, der prøver at hente en
fil ved navn "\x13BitTorrent protocolex".

Din Apache svarer fint tilbage med en "400 Bad File Request",
så alt ser ud til at være i den skønneste orden.

Mvh.
   Klaus.

Michael Rasmussen (15-05-2007)
Kommentar
Fra : Michael Rasmussen


Dato : 15-05-07 21:21

On Tue, 15 May 2007 19:47:06 +0000 (UTC)
Klaus Ellegaard <klausellegaard@msn.com> wrote:

>
> Din Apache svarer fint tilbage med en "400 Bad File Request",
> så alt ser ud til at være i den skønneste orden.
>
Problemet er, jeg har overtaget en gammel mandrake-10.2, der aldrig var
kørt sikkerhedsopdateringer på, og efter at have fundet et gammelt rep.
med diverse opdateringer, og opdateret, er apache stadigvæk kun 2.0.53.

Herudover ser jeg en vældig masse indgange i loggen ala dette:
218.80.37.25 - - [15/May/2007:20:40:47 +0200]
"\x9dR\xc3m4\xb1\b\xcf\xb1\x110\xdf\xdaAG\xd5>\x1e\x8eH\x88T\"\xef\xd9\xf0\xe9;K\xdb\xb5\xb9\x06\x96`\x88\xb1\x82;[\x7f\xcb\xce\xecz
|\xefl\xb8\xbbX^S\x03\xd2R\xd9\x9e\x8f\xc4\x18\x05\b\x1e\xd7Q[\x99\xde\x93:t\xdf\xa2.hb\x9b\x1a\xac*\x16<b}KX\xc2U4r\x82\x93
\xbb\xbc\x85[\xcc\xcc" 400 422 "-" "-"

samtidigt med et stort load ud til forskellige adresser i Kina!-\

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.

Klaus Ellegaard (15-05-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 15-05-07 21:29

Michael Rasmussen <mir@miras.org> writes:

>Problemet er, jeg har overtaget en gammel mandrake-10.2, der aldrig var
>kørt sikkerhedsopdateringer på, og efter at have fundet et gammelt rep.
>med diverse opdateringer, og opdateret, er apache stadigvæk kun 2.0.53.

Jaeh, afhængig af hvordan den er compilet og opsat, kan den have
sikkerhedshuller. Det er ikke fikst at have den på nettet, før
den er opdateret til 2.0.59 (eller det nye 2.2 branch).

>Herudover ser jeg en v=E6ldig masse indgange i loggen ala dette:
>218.80.37.25 - - [15/May/2007:20:40:47 +0200]
>"\x9dR\xc3m4\xb1\b\xcf\xb1\x110\xdf\xdaAG\xd5>\x1e\x8eH\x88T\"\xef\xd9\xf0\=
>xe9;K\xdb\xb5\xb9\x06\x96`\x88\xb1\x82;[\x7f\xcb\xce\xecz
>|\xefl\xb8\xbbX^S\x03\xd2R\xd9\x9e\x8f\xc4\x18\x05\b\x1e\xd7Q[\x99\xde\x93:=
>t\xdf\xa2.hb\x9b\x1a\xac*\x16<b}KX\xc2U4r\x82\x93
>\xbb\xbc\x85[\xcc\xcc" 400 422 "-" "-"

Umiddelbart er der ingen fare - den har også fået en 400'er retur.
Men igen - der kan være andre requests, hvor det kan lykkes at få
kontrol over din maskine.

>samtidigt med et stort load ud til forskellige adresser i Kina!-\

Det er der jo på alle kværne.

Mvh.
   Klaus.

N/A (15-05-2007)
Kommentar
Fra : N/A


Dato : 15-05-07 21:29



Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409075
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste