/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
ICMP redirect
Fra : Lars Nedergaard


Dato : 06-04-02 00:04

Halløj
Jeg har et website der vil lave noget med ICMP redirect, jeg har fundet
løsningen eller patchen til at disable ICMP.
Men der må være et eller andet på serveren der udføre dette eller hvad ?
Det er kun et website ud af 6 der gør det, der er ikke noget at se u
public_html mappen.
I error.logen bliver der søgt efter en fil der hedder robots.txt som
ikke eksistere.
Der har været en hacker på besøg for et stykke tid kan det stamme derfra
?
serveren er en FreeBSD med Apache.

Lars


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

 
 
Martin Dyring (06-04-2002)
Kommentar
Fra : Martin Dyring


Dato : 06-04-02 00:33

"Lars Nedergaard" <lane@jubiipost.dk> wrote in message
news:f35d2b412d8a22bbeecc15af47a86e97.64675@mygate.mailgate.org...
> Halløj
> Jeg har et website der vil lave noget med ICMP redirect, jeg har fundet
> løsningen eller patchen til at disable ICMP.
[...]

Jeg ved ikke lige hvor ICMP redirects kommer ind i billedet - men det er
ganske almindelig (og ønskelig) crawler[1] opførsel at man forsøger at hente
/robots.txt før man crawler et site. Det lyder som om du har flere virtual
hosts (sites) på samme maskine, at kun det ene site er forsøgt crawlet kan
være et rent tilfælde.

[1]: Crawlere bliver brugt til at hente dokumentet til søgemaskiner, eks.
www.google.dk eller www.jubii.dk.

--
Mvh,
Martin Dyring




Lars Nedergaard (06-04-2002)
Kommentar
Fra : Lars Nedergaard


Dato : 06-04-02 09:41

> SNIP
> Jeg ved ikke lige hvor ICMP redirects kommer ind i billedet - men det er
> ganske almindelig (og ønskelig) crawler[1] opførsel at man forsøger at hente
> /robots.txt før man crawler et site. Det lyder som om du har flere virtual
> hosts (sites) på samme maskine, at kun det ene site er forsøgt crawlet kan
> være et rent tilfælde.
>
> [1]: Crawlere bliver brugt til at hente dokumentet til søgemaskiner, eks.
> www.google.dk eller www.jubii.dk.
>
> --
> Mvh,
> Martin Dyring

ICMP redirect kommer ind i billedet når jeg prøver at få fat i
www.fiskilimfjorden.dk
Min firewall popper op med en advarsel om der er forsøgt ICMP redirect
mod min pc
ip adressen der skal directes til kender jeg men kan ikke finde dem i
whois
eller Samspade.
Hvis man forsøger at få fat i sitet på en mindre sikker maskine
er der ikke npget problem.
Dette site er ganske rigtigt et virtualhost blandt 6 andre.

Filen robots.txt aner jeg ikke hvad er.

Lars




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Kent Friis (06-04-2002)
Kommentar
Fra : Kent Friis


Dato : 06-04-02 11:05

Den Sat, 6 Apr 2002 08:40:52 +0000 (UTC) skrev Lars Nedergaard:
>> SNIP
>> Jeg ved ikke lige hvor ICMP redirects kommer ind i billedet - men det er
>> ganske almindelig (og ønskelig) crawler[1] opførsel at man forsøger at hente
>> /robots.txt før man crawler et site. Det lyder som om du har flere virtual
>> hosts (sites) på samme maskine, at kun det ene site er forsøgt crawlet kan
>> være et rent tilfælde.
>>
>> [1]: Crawlere bliver brugt til at hente dokumentet til søgemaskiner, eks.
>> www.google.dk eller www.jubii.dk.
>>
>> --
>> Mvh,
>> Martin Dyring
>
>ICMP redirect kommer ind i billedet når jeg prøver at få fat i
>www.fiskilimfjorden.dk
>Min firewall popper op med en advarsel om der er forsøgt ICMP redirect
>mod min pc
>ip adressen der skal directes til kender jeg men kan ikke finde dem i
>whois
>eller Samspade.
>Hvis man forsøger at få fat i sitet på en mindre sikker maskine
>er der ikke npget problem.
>Dette site er ganske rigtigt et virtualhost blandt 6 andre.

Er det korrekt forstået, at det site du forsøger at få fat i, er på
lokalnettet, og det er routeren til internettet der sender ICMP
redirect? I så fald har den fuldstændig ret, du skal jo ikke ud på
internettet. Så skal du enten lave en lokal route til dine webservere,
eller du skal forklare din *elendige* firewall, at ICMP redirect er
normal trafik den ikke skal blande sig i.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

Lars Nedergaard (06-04-2002)
Kommentar
Fra : Lars Nedergaard


Dato : 06-04-02 15:24

SNIP
> Er det korrekt forstået, at det site du forsøger at få fat i, er på
> lokalnettet, og det er routeren til internettet der sender ICMP
> redirect? I så fald har den fuldstændig ret, du skal jo ikke ud på
> internettet. Så skal du enten lave en lokal route til dine webservere,
> eller du skal forklare din *elendige* firewall, at ICMP redirect er
> normal trafik den ikke skal blande sig i.
>
> Mvh
> Kent

Nix sitet er på en webserver og ikke lokalnet.
prøv www.dtpnord.dk og www fiskilimfjorden.dk
de er på samme server og er begge virtualhost
der er ingen forskell i de dir de 2 sites er i
kun fiskilimfjorden.dk bliver blokeret af min firewall
og af en maskine hvor sikkerheden er sat højree end deafault.

I det jeg har kunne finde om ICMP redirect på netten står der
bør deaktiveres.
Fx.
http://www.linuxdoc.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap5sec57.html
og http://www.networkmagazine.com/article/NMG20000829S0003
for et stykke tid siden havde vi en hacker inde og siden dengang
har der været rod i permissions og adgang til nogle sites.

Lars




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Kent Friis (06-04-2002)
Kommentar
Fra : Kent Friis


Dato : 06-04-02 20:36

Den Sat, 6 Apr 2002 14:24:13 +0000 (UTC) skrev Lars Nedergaard:
>SNIP
>> Er det korrekt forstået, at det site du forsøger at få fat i, er på
>> lokalnettet, og det er routeren til internettet der sender ICMP
>> redirect? I så fald har den fuldstændig ret, du skal jo ikke ud på
>> internettet. Så skal du enten lave en lokal route til dine webservere,
>> eller du skal forklare din *elendige* firewall, at ICMP redirect er
>> normal trafik den ikke skal blande sig i.
>>
>> Mvh
>> Kent
>
>Nix sitet er på en webserver og ikke lokalnet.
>prøv www.dtpnord.dk og www fiskilimfjorden.dk
>de er på samme server og er begge virtualhost
>der er ingen forskell i de dir de 2 sites er i
>kun fiskilimfjorden.dk bliver blokeret af min firewall
>og af en maskine hvor sikkerheden er sat højree end deafault.

Begge er virtualhost?

www.fiskilimfjorden.dk. 42681 A 212.242.220.94
www.dtpnord.dk. 42391 A 217.157.139.34

Det er ikke samme ip-nr.

>I det jeg har kunne finde om ICMP redirect på netten står der
>bør deaktiveres.
>Fx.
>http://www.linuxdoc.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap5sec57.html
>og http://www.networkmagazine.com/article/NMG20000829S0003
>for et stykke tid siden havde vi en hacker inde og siden dengang
>har der været rod i permissions og adgang til nogle sites.

ICMP redirect kan af sikkerhedsmæssige årsager blokeres, HVIS de ikke
er nødvendige. Sålænge jeg ikke kender dit netværk, kan jeg ikke sige
om de er nødvendige for dig.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

Kasper Dupont (06-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-04-02 22:45

Lars Nedergaard wrote:
>
> Nix sitet er på en webserver og ikke lokalnet.
> prøv www.dtpnord.dk og www fiskilimfjorden.dk
> de er på samme server og er begge virtualhost

De har vidt forskellig IP addresse!

www.dtpnord.dk er tilsyneladende sat forkert op,
jeg får bare beskeden: You don't have permission
to access /index.htm on this server.

www.fiskilimfjorden.dk står tilsyneladende
bagved en firewall, der ikke giver adgang til
webserveren på maskinen.

Jeg får ingen usædvanlige ICMP pakker fra nogen
af maskinerne.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Lars Nedergaard (06-04-2002)
Kommentar
Fra : Lars Nedergaard


Dato : 06-04-02 23:39

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3CAF6C6E.60C15D47@daimi.au.dk...

> Lars Nedergaard wrote:
> >
> > Nix sitet er på en webserver og ikke lokalnet.
> > prøv www.dtpnord.dk og www fiskilimfjorden.dk
> > de er på samme server og er begge virtualhost
>
> De har vidt forskellig IP addresse!
>
> www.dtpnord.dk er tilsyneladende sat forkert op,
> jeg får bare beskeden: You don't have permission
> to access /index.htm on this server.
>
> www.fiskilimfjorden.dk står tilsyneladende
> bagved en firewall, der ikke giver adgang til
> webserveren på maskinen.
>
> Jeg får ingen usædvanlige ICMP pakker fra nogen
> af maskinerne.

Mystikken breder sig, fiskilimfjorden.dk og dtpnord.dk ER på samme ip,
samme server
og begge er under virtualhosts.
Det samme er www.poetic-world.dk, www.realpizza.dk og www.jff.dk
de er alle på/har samme ip og er på samme server som fiskilimfjorden.dk
hvorfor fiski.. ikke har samme ip som de andre sites aner jeg ikke
men det er også det eneste der er vrøvl med.

Det er nok mig der har galt fat i det med virtuelle hosts.
grunden til at man ikke kunne se noget før var at jeg havde lavet et
testweb
som åbenbart fik hele systemet til at gå endnu mere i udu.
Ham der har sat systemet op har lavet et par scripts som skulle oprette
nye web og mail opsætninger
begge scripts kørte jeg i eftermiddags hvorpå serveren lukkede helt af.


Lars




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Kasper Pedersen (07-04-2002)
Kommentar
Fra : Kasper Pedersen


Dato : 07-04-02 00:32


"Lars Nedergaard" <lane@jubiipost.dk> wrote in message news:21a3763d7a118c753c10d0eac7d6c2a9.64675@mygate.mailgate.org...
> Mystikken breder sig, fiskilimfjorden.dk og dtpnord.dk ER på samme ip,
> samme server
> og begge er under virtualhosts.
> Det samme er www.poetic-world.dk, www.realpizza.dk og www.jff.dk

Ja, din webserver er korrekt konfigureret, og
hvis jeg putter

217.157.139.34 www.fiskilimfjorden.dk

i min hosts fil, så kan jeg se siden. Så du
har en korrekt vhost på serveren. Så langt,
så godt.

MEN i dnsserverne står der forkert IP
adresse. Opdater dine DNS records, så
virker det.

/Kasper



Kent Friis (06-04-2002)
Kommentar
Fra : Kent Friis


Dato : 06-04-02 09:42

Den Fri, 5 Apr 2002 23:03:52 +0000 (UTC) skrev Lars Nedergaard:
>Halløj
>Jeg har et website der vil lave noget med ICMP redirect, jeg har fundet
>løsningen eller patchen til at disable ICMP.
>Men der må være et eller andet på serveren der udføre dette eller hvad ?

ICMP redirects forekommer når fx. routeren ikke er enig med serverne
om hvem der skal have hvilken trafik.

Enten har du et problem med opsætningen (routing-tabeller, ip-numre),
eller også skal de være der. Der er ingen der sender ICMP redirects uden
der er en grund til det.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

Peder Vendelbo Mikke~ (06-04-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 06-04-02 23:59

"Lars Nedergaard" wrote

> robots.txt som ikke eksistere.

<URL: http://www.robotstxt.org/wc/robots.html >


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste