/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
hacker-tester trendmicro.com min server?
Fra : Leif Neland


Dato : 16-12-10 11:59

Jeg så i logfilen, at admin-siderne til en af vores websites er forsøgt
tilgået fra fremmede ip-adresser.
Ved nærmere eftersyn ser jeg at ip-adresserne tilhører trendmicro.com.

Administratoren for det site har trendmicro virusscanner på sin maskine.

URL'en er lang og unik, erstat URL i loggen med dette:
URL="/admin/content_section.php?do=edit_topic&page_id=f494c.......................f517&page=help"

Jeg har maskeret vores ip og referer; referer er sat på vores request,
og "-" på deres.

[Vores ip] - - [15/Dec/2010:13:43:06 +0100] "GET URL HTTP/1.1" 200 5647
[Vores ip] - - [15/Dec/2010:13:47:35 +0100] "GET URL HTTP/1.1" 200 5937
216.104.15.134 - - [15/Dec/2010:15:01:44 +0100] "GET URL HTTP/1.0" 200
51 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
[Vores ip] - - [15/Dec/2010:15:33:48 +0100] "GET URL HTTP/1.1" 200
5937 "-" "Mozilla/4.0 (compatible; MSIE 8.0;..."
150.70.75.35 - - [15/Dec/2010:16:33:22 +0100] "GET URL HTTP/1.0" 200
51 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Dvs hhv 1 time og 1t14m efter admin har været inde på siden, går "noget"
fra trendmicro.com's ip-adresser ind på den samme side.

Det ser dog ikke ud til at de får noget (51 bytes i stedet for 5-6K når
admin er logget ind); trendmicro er ikke logget ind, men alligevel...

Hvad har de gang i?

Jeg har tidligere måtte blokere i firewall og mailserver for at
forhindre trendmicro i at sende emails "hjem", tilsyneladende når der
blev fundet virus. Måske må man også blokere for webadgang til/fra de
adresser...

Leif

 
 
Rune Jensen (16-12-2010)
Kommentar
Fra : Rune Jensen


Dato : 16-12-10 12:52

Den 16-12-2010 11:59, Leif Neland skrev:
> Jeg så i logfilen, at admin-siderne til en af vores websites er forsøgt
> tilgået fra fremmede ip-adresser.
> Ved nærmere eftersyn ser jeg at ip-adresserne tilhører trendmicro.com.
>
> Administratoren for det site har trendmicro virusscanner på sin maskine.
>
> URL'en er lang og unik, erstat URL i loggen med dette:
> URL="/admin/content_section.php?do=edit_topic&page_id=f494c.......................f517&page=help"
</SNIP>

Det ligner et hackder-angreb, og Trend Micro har et blandet rygte
iblandt webmastere.

De to nævnte IPer giver dette på projecthoneypot.org:

http://projecthoneypot.org/ip_216.104.15.134

og

http://projecthoneypot.org/ip_150.70.75.35

Den første er defineret som spammer og rule breaker (rule breaker er
vidst bl.a. noget med ikke at følge robots.txt - en meget skidt ting for
et proft firma).

stopforumspam siger:
http://www.stopforumspam.com/ipcheck/216.104.15.134

Hverken Trend Micro eller andre må automatisk lave penetration tests på
den måde, du beskriver. Der søges efter et admin-directory - hvis ikke
der linkes direkte til dette fra siden ville det alene være nok til, jeg
blockede hele IP-rangen for Trend Micro eller på anden måde sørgede for,
de ikke fik noget ud af min side (jeg har automatiske scripts til test
for hacking og de blockes automatisk, så for mig er ejeren af IPen
normalt ikke så vigtig - men at det er et velrennomeret firma, er
direkte pinligt).

Det *kunne* for så vidt være en PC i selve firmaet, som var inficeret,
eller på anden måde en ekstern service (som også en kommentar foreslår)
og ikke Trend Micro, som sådan, der står for det. Men either way - jeg
har ingen tiltro til dem, når de ikke ordner problemet.


MVH
Rune Jensen

Rune Jensen (16-12-2010)
Kommentar
Fra : Rune Jensen


Dato : 16-12-10 13:08

Den 16-12-2010 12:51, Rune Jensen skrev:

> Det *kunne* for så vidt være en PC i selve firmaet, som var inficeret,
> eller på anden måde en ekstern service (som også en kommentar foreslår)
> og ikke Trend Micro, som sådan, der står for det. Men either way - jeg
> har ingen tiltro til dem, når de ikke ordner problemet.

En lille "sjov" ting. User agent IE6.0 og ingen accept af GZIP indikerer
som regel en spammer-bot. Jeg vil sige nok 80% change for det, i mindre
grad kan det være SQL-injection mv. Årsagen tror jeg er meget enkel, det
tager tid at få opdateret disse spambotnets user agents, så de svarer
til virkeligheden. Det er først på det sidste, jeg er begyndt at se
f.eks. Firefox, og så er det noget med 2.0 eller sådan noget - tit også
spammer eller bad bot.

En "god" bot identificerer sig selv i user-agent. Det gør Google, Yahoo
og andre. Her vil der være link til, hvor man kan læse om botten og hvad
den gør.

På projecthoneypot og til en vis grad også stopforumsam kan man studere
IP-rangen og få et fingerpeg om, om denne har andre bad bots. I så fald,
vil det være ekstra mistænkeligt.


MVH
Rune Jensen

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409071
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste