/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
DDOS i gang?
Fra : Troels Arvin


Dato : 25-01-03 10:08

Hej,

Her til morgen (lørdag d. 25.) synes jeg, at der er underlige "huller"
på nettet: Tilsyneladende ikke-relaterede netværk synes at være nede,
herunder webpartner og jay-net.

Samtidig ses en meddelelse som på http://garm.adm.ku.dk/kunet/message/
hvor det ses, at der åbenbart er udbrudt port-1434/udp (MSSQL) angreb
rundt omkring.

Er der nogen der ved hvilken orm, der i givet fald er gang i?

/Troels

 
 
Sune (25-01-2003)
Kommentar
Fra : Sune


Dato : 25-01-03 10:34

On Sat, 25 Jan 2003 10:08:26 +0100, "Troels Arvin" <troels@arvin.dk>
wrote:

>Her til morgen (lørdag d. 25.) synes jeg, at der er underlige "huller"
>på nettet: Tilsyneladende ikke-relaterede netværk synes at være nede,
>herunder webpartner og jay-net.

Tjahh, det ser slemt ud http://average.matrix.net/index.html

>Samtidig ses en meddelelse som på http://garm.adm.ku.dk/kunet/message/
>hvor det ses, at der åbenbart er udbrudt port-1434/udp (MSSQL) angreb
>rundt omkring.
>
>Er der nogen der ved hvilken orm, der i givet fald er gang i?

Måske én som benytter dette hul;
http://www.cert.org/incident_notes/IN-2002-04.html

Mvh
Sune

Troels Arvin (25-01-2003)
Kommentar
Fra : Troels Arvin


Dato : 25-01-03 16:49

On Sat, 25 Jan 2003 10:34:24 +0100, Sune wrote:

> Tjahh, det ser slemt ud http://average.matrix.net/index.html

Virker "under kontrol" nu, men nok primært ved at nogle af de travle
routere har fået filtre på relevante UDP-port. Egentlig ret
imponerernde, at den slags kan slås ned så effektivt, selv på en
lørdag, hvor mange sysadm'er osv. må antages at holde fri.

/Troels

PS:
Det er dog bemærkelsesværdigt, at lige netop www.cert.org i skrivende
stund ikke er til at slå op (har prøvet op imod 5 navneservere på
forskellige netværk nu), mens et andet .org-domæne såsom slashdot.org
fint resolv'er... ;)

Ivar Madsen (25-01-2003)
Kommentar
Fra : Ivar Madsen


Dato : 25-01-03 19:02

Troels Arvin skrev Lørdag den 25. januar 2003 16:49 i dk.edb.sikkerhed:

> Virker "under kontrol" nu, men nok primært ved at nogle af de travle
> routere har fået filtre på relevante UDP-port. Egentlig ret
> imponerernde, at den slags kan slås ned så effektivt, selv på en
> lørdag, hvor mange sysadm'er osv. må antages at holde fri.

Sådanne sysadmin'er holder aldrig fri på store netwærk, de er
døgnovervågede.
Og på mindre netwærk har sysadminerne en interesse i at holde netwærket
kørende, så de tager sig gerne af det i fritiden.

--
Med venlig hilsen

Ivar Madsen

Jonathan Stein (25-01-2003)
Kommentar
Fra : Jonathan Stein


Dato : 25-01-03 19:44

Troels Arvin wrote:

> Virker "under kontrol" nu, men nok primært ved at nogle af de travle
> routere har fået filtre på relevante UDP-port. Egentlig ret
> imponerernde, at den slags kan slås ned så effektivt, selv på en
> lørdag, hvor mange sysadm'er osv. må antages at holde fri.

Det er nok net-adminer hos de store operatører med døgnvagt, der har
æren. Alle de upatchede servere er næppe blevet patchet i løbet af et par
timer. Så nogen har måske forregnet sig med hensyn til virkningen af at
starte angrebet i en weekend.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Anders Lund (25-01-2003)
Kommentar
Fra : Anders Lund


Dato : 25-01-03 15:38

Troels Arvin wrote:
> Her til morgen (lørdag d. 25.) synes jeg, at der er underlige "huller"
> på nettet: Tilsyneladende ikke-relaterede netværk synes at være nede,
> herunder webpartner og jay-net.
>
> Samtidig ses en meddelelse som på http://garm.adm.ku.dk/kunet/message/
> hvor det ses, at der åbenbart er udbrudt port-1434/udp (MSSQL) angreb
> rundt omkring.
>
> Er der nogen der ved hvilken orm, der i givet fald er gang i?

Cybercity har udsendt en "advarsel" om at der er en orm som har gang i en
del MSSQL servere. De siger at den gennere en del trafik på Internettet.
Cybercity har faktisk lukket af for den.

Så ja - der sker en del lige nu!

Tagte fra http://shor.ter.dk/27396072 :


Seneste Driftsstatus meddelelser

Nedsat fremkommelighed
Der er i øjeblikket en orm (dvs. en slags virus) i omløb, der angriber
MS-SQL servere.

Denne orm generer massiv trafik, derfor vil store dele af Internettet have
nedsat fremkommelighed, og specielt Internettets navneservere er hårdt ramt.

For at beskytte vores kunder har Cybercity kl. 10:50 lukket for trafik til
denne service i vores netværk. Denne lukning er midlertidig, og vil blive
fjernet når vores kunder har haft en chance for at beskytte sig mod denne
orm. Der udsendes ny udmeldning mandag kl. 09:00.

Cybercity anbefaler at trafik til port 1433+1434 (både TCP og UDP) blokeres.
Ydermere bør MS-SQL servere opgraderes med:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

og/eller Microsoft SQL Server 2000 Service Pack 3


Sidst opdateret: 2003-01-25 11:59:41





--
Anders Lund - spam2003@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
"Hvis du kun leder efter fejl, finder du ikke andet."


Peter Kruse (25-01-2003)
Kommentar
Fra : Peter Kruse


Dato : 25-01-03 16:34

"Troels Arvin" <troels@arvin.dk> skrev i en meddelelse news:pan.2003.01.25.08.59.17.145126@arvin.dk...
> Samtidig ses en meddelelse som på http://garm.adm.ku.dk/kunet/message/
> hvor det ses, at der åbenbart er udbrudt port-1434/udp (MSSQL) angreb
> rundt omkring.

Hej,

Det er skam en ny SQL orm. De fleste kalder den SQL.Slammer.

Jeg har lavet en analyse som kan findes på min hjemmeside:
http://www.krusesecurity.dk/advisories/SQL_Sapphireworm.txt

Venligst
Peter Kruse
Kruse Security
http://www.krusesecurity.dk


Arne Schwerdtfegger (25-01-2003)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 25-01-03 16:45

"Peter Kruse" <kruse@_rouchSPAM_railroad.dk> wrote in
news:3e32ae7f$0$13243$edfadb0f@dread11.news.tele.dk:

> Jeg har lavet en analyse som kan findes på min hjemmeside:
> http://www.krusesecurity.dk/advisories/SQL_Sapphireworm.txt

For mig at se ligner det mere en oversættelse af andre folks analyse. Endda
en dårligt skrevet en.

--
Knud

Alex Holst (25-01-2003)
Kommentar
Fra : Alex Holst


Dato : 25-01-03 17:24

Peter Kruse <kruse@_rouchspam_railroad.dk> wrote:
> Jeg har lavet en analyse som kan findes på min hjemmeside:
> http://www.krusesecurity.dk/advisories/SQL_Sapphireworm.txt

Som altid er dine advisories blot forkerte danske oversaettelser af
engelske ditto.

Paa RISKS listen ville der nok blive paapeget, at dine advisories er en
risiko, fordi folk kunne gaa hen og tro at du ved hvad du taler om, og
efterfoelgende tage dit raad.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Peter Kruse (25-01-2003)
Kommentar
Fra : Peter Kruse


Dato : 25-01-03 17:47

"Alex Holst" <a@mongers.org> skrev i en meddelelse news:h9qag-7lj.ln1@miracle.mongers.org...

> Som altid er dine advisories blot forkerte danske oversaettelser af
> engelske ditto.

Helt ærligt gider jeg ikke bruge tid på dig. Jeg samarbejder med mange
mennesker og ønsker ingen dialog med dig. Fri mig for dine evindelige
guddommelige bedømmelser. Du har ingen ret til sådanne udtalelelser
medmindre du har lyst til at uddybe hvori min analyse er forkert, eller
ukorrekt. Jeg har arbejdet på denne analyse siden jeg fik det første
sample kl. 8.37 i morges. Der sad du sikkert og skrev på dit OSS,
eller lavede juleønsker for 2004.

Jeg har simpelthen fået nok af dig!

/Peter




Alex Holst (25-01-2003)
Kommentar
Fra : Alex Holst


Dato : 25-01-03 18:28

Peter Kruse <kruse@_rouchspam_railroad.dk> wrote:
> "Alex Holst" <a@mongers.org> skrev i en meddelelse news:h9qag-7lj.ln1@miracle.mongers.org...
>
>> Som altid er dine advisories blot forkerte danske oversaettelser af
>> engelske ditto.
>
> Helt ærligt gider jeg ikke bruge tid på dig.

Jeg ville ogsaa helst vaere fri for at bruge tid paa dig, men saa laenge
du bliver ved med at ytre forskellige former for vroevl der naesten
konstant strider 100% imod min viden, bliver jeg noedt til at
protestere. Det er saadan Usenet virker.

Det er blot et spoergsmaal om at du bliver ved laenge nok, saa opgiver
jeg dig helt, ligesom jeg har opgivet ham den anden. Og hvis folk saa
hellere vil lytte til hvad du har at sige, fremfor hvad jeg har at sige,
er det blot beklageligt.

> Jeg samarbejder med mange mennesker og ønsker ingen dialog med dig.
> Fri mig for dine evindelige guddommelige bedømmelser. Du har ingen ret
> til sådanne udtalelelser medmindre du har lyst til at uddybe hvori min
> analyse er forkert, eller ukorrekt.

Maa jeg skrive, at du stoetter mig 100% naeste gang OSS'en bliver
kritiseret uden at vedkommende giver mig nok information til at forbedre
den?

Du skriver: "Ormen har det primære formål, at ping floode (pakke bombe)
andre tilfældigt valgte systemer på Internet."

Ormen har kun eet formaal. Den forsoeger at inficere andre MSSQL
servere, og det er pga. hastigheden hvormed den goer dette, at der
skabes en DoS effekt mod systemer og netvaerk.

Paa intet tidspunkt "ping flooder" den andre systemer. Du maa selv finde
de andre fejl. Du skal jo forestille at have styr paa sagerne.

> Jeg har arbejdet på denne analyse siden jeg fik det første
> sample kl. 8.37 i morges. Der sad du sikkert og skrev på dit OSS,
> eller lavede juleønsker for 2004.

You say that like it's a bad thing.

> Jeg har simpelthen fået nok af dig!

Ok.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Peter Kruse (25-01-2003)
Kommentar
Fra : Peter Kruse


Dato : 25-01-03 18:56

"Alex Holst" <a@mongers.org> skrev i en meddelelse news:o2uag-qdq.ln1@miracle.mongers.org...
> Jeg ville ogsaa helst vaere fri for at bruge tid paa dig, men saa laenge
> du bliver ved med at ytre forskellige former for vroevl der naesten
> konstant strider 100% imod min viden, bliver jeg noedt til at
> protestere. Det er saadan Usenet virker.

"Strider 100%" mod din viden - er det fremførte eksempel det bedste du kan finde?
Læs dog mit advisory igen og se om du kan forstå det anden gang.

Jeg skriver:
"Formålet med ormen, er angiveligt, at bevirke store nedlukninger af SQL servere, men ormens
primære payload, kan have alvorlige konsekvenser for tilgænglighed af systemer på tværs af
Internet.".

Og det er præcis det som sker når en server sender så store mængder UDP pakker ud mod
tilfældige IP adresser (host). Når mange servere påvirkes kan core routere og andet centralt
udstyr blive påvirke og begynde at hoste. Jeg skriver altså, eller forsøger på det, at ormens
formål er at anvende sårbare SQL servere til at nå dette mål. Hele koden er skrevet med det
formål at overbelaste systemer og foretage interne og eksterne DoS.

> Det er blot et spoergsmaal om at du bliver ved laenge nok, saa opgiver
> jeg dig helt, ligesom jeg har opgivet ham den anden. Og hvis folk saa
> hellere vil lytte til hvad du har at sige, fremfor hvad jeg har at sige,
> er det blot beklageligt.

Jeg er altså ikke opgivet endnu. Se, nu har jeg det straks bedre.
Hvad skal der til for at blive opgivet af Alex Holst?

> Maa jeg skrive, at du stoetter mig 100% naeste gang OSS'en bliver
> kritiseret uden at vedkommende giver mig nok information til at forbedre
> den?

Ah, ligesom din konstruktive kritik af min analyse. Jeg behøver vel ikke at citere, vel?

> Ormen har kun eet formaal. Den forsoeger at inficere andre MSSQL
> servere, og det er pga. hastigheden hvormed den goer dette, at der
> skabes en DoS effekt mod systemer og netvaerk.

Den anvender MSSQL servere til at nå dens primære mål: at pakke floode andre
systemer med det for mål, også at ramme vitale installationer. Der er god strategi i, at
ormen netop blev sendt til spredning fredag aften. Jeg er derfor ikke enig i din vurdering.
Det primære mål var at skabe trafik og det blev sårbare SQLservere brugt til. Bemærk,
at ormen, ikke har andre sideeffekter end massiv trafik!

> Paa intet tidspunkt "ping flooder" den andre systemer. Du maa selv finde
> de andre fejl. Du skal jo forestille at have styr paa sagerne.

Den flooder systemer med requests mod SQL services.

/Peter

Arne Schwerdtfegger (25-01-2003)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 25-01-03 19:27

"Peter Kruse" <kruse@_rouchSPAM_railroad.dk> wrote in
news:3e32cfbd$0$13157$edfadb0f@dread11.news.tele.dk:

> Jeg skriver:
> "Formålet med ormen, er angiveligt, at bevirke store nedlukninger af
> SQL servere, men ormens primære payload, kan have alvorlige
> konsekvenser for tilgænglighed af systemer på tværs af Internet.".

Og samtidig skriver du, i foregående indlæg, "Den anvender MSSQL servere
til at nå dens primære mål: at pakke floode andre systemer med det for
mål, også at ramme vitale installationer."

Hvad er dens primære mål? at bevirke 'store nedlukninger' (hvad er
forskellen på en stor og en lille nedlukning?) eller at 'pakke floode'?
Jeg har ganske svært ved at tyde din mening når du siger to forskellige
ting på samme tid.

> Den flooder systemer med requests mod SQL services.

Tak, det har vi opdaget.

Jeg lagde i øvrigt mærke til at du har rettet teksten på
http://www.krusesecurity.dk/advisories/SQL_Sapphireworm.txt så der ikke
længere tales om at 'ping floode' - erkender du dermed at du var helt
galt på den, at du ikke selv har analyseret ormen, og at du efter at have
læst hvad andre folk har fundet ud af må bide i det sure æble?

Var det med pingfloodingen evt. noget der bare kom til i din mangelfulde
oversættelse? Jeg vil anbefale at du øver dig lidt mere i at læse teknisk
engelsk førend du oversætter dokumenter og udgiver dem som dine egne
igen.

Med dine mægtige analytiske evner er du måske en snuskebasse der lige kan
oversætte dette payload?

50 65 74 65 72 20 4b 72 75 73 65 20 65 72 20 65 6e 20 6b 6c 6f 76 6e 0a

--
Knud

F.Larsen (26-01-2003)
Kommentar
Fra : F.Larsen


Dato : 26-01-03 01:11

"Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> wrote in message
news:Xns930EC61522727knudINVALIDskodlivdk@212.242.40.196...
> Med dine mægtige analytiske evner er du måske en snuskebasse der lige kan
> oversætte dette payload?
>
> 50 65 74 65 72 20 4b 72 75 73 65 20 65 72 20 65 6e 20 6b 6c 6f 76 6e 0a

hvad betyder "klpvo" ? :=)

--
Flemming
http://home.cbkn.dk/Spyware/
http://home.cbkn.dk/Spam/




Kent Friis (26-01-2003)
Kommentar
Fra : Kent Friis


Dato : 26-01-03 09:59

Den Sun, 26 Jan 2003 01:10:44 +0100 skrev F.Larsen:
>"Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> wrote in message
>news:Xns930EC61522727knudINVALIDskodlivdk@212.242.40.196...
>> Med dine mægtige analytiske evner er du måske en snuskebasse der lige kan
>> oversætte dette payload?
>>
>> 50 65 74 65 72 20 4b 72 75 73 65 20 65 72 20 65 6e 20 6b 6c 6f 76 6e 0a
>
>hvad betyder "klpvo" ? :=)

At man har læst forkert. Prøv igen

Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz

Lars Kim Lund (26-01-2003)
Kommentar
Fra : Lars Kim Lund


Dato : 26-01-03 17:44

Arne Schwerdtfegger <knud@INVALIDskodliv.dk> wrote:

>Med dine mægtige analytiske evner er du måske en snuskebasse der lige kan
>oversætte dette payload?
>
>50 65 74 65 72 20 4b 72 75 73 65 20 65 72 20 65 6e 20 6b 6c 6f 76 6e 0a

44 65 72 20 73 74 61 61 72 20 61 74 20 50 65 74 65 72 20 4b 72 75 73
65 20 65 6e 20 65 6e 20 6b 6c 6f 76 6e 2e 20 48 76 61 64 20 68 61 72
20 6a 65 67 20 76 75 6e 64 65 74 3f

--
Lars Kim Lund
http://www.net-faq.dk/

Christian Iversen (26-01-2003)
Kommentar
Fra : Christian Iversen


Dato : 26-01-03 18:06

>>50 65 74 65 72 20 4b 72 75 73 65 20 65 72 20 65 6e 20 6b 6c 6f 76 6e 0a
>
> 44 65 72 20 73 74 61 61 72 20 61 74 20 50 65 74 65 72 20 4b 72 75 73
> 65 20 65 6e 20 65 6e 20 6b 6c 6f 76 6e 2e 20 48 76 61 64 20 68 61 72
> 20 6a 65 67 20 76 75 6e 64 65 74 3f
>
45 6E 20 68 61 74 20 61 66 20 6D 75 67

--
M.V.H
Christian Iversen

Jens Axel Søgaard (26-01-2003)
Kommentar
Fra : Jens Axel Søgaard


Dato : 26-01-03 19:29

Christian Iversen wrote:
>>> 50 65 74 65 72 20 4b 72 75 73 65 20 65 72 20 65 6e 20 6b 6c 6f 76
>>> 6e 0a
>>
>> 44 65 72 20 73 74 61 61 72 20 61 74 20 50 65 74 65 72 20 4b 72 75 73
>> 65 20 65 6e 20 65 6e 20 6b 6c 6f 76 6e 2e 20 48 76 61 64 20 68 61 72
>> 20 6a 65 67 20 76 75 6e 64 65 74 3f
>>
> 45 6E 20 68 61 74 20 61 66 20 6D 75 67

45 6e 20 74 61 78 61 62 6f 6e 3f

--
Jens Axel Søgaard



Christian Iversen (27-01-2003)
Kommentar
Fra : Christian Iversen


Dato : 27-01-03 14:24

>>>> 50 65 74 65 72 20 4b 72 75 73 65 20 65 72 20 65 6e 20 6b 6c 6f 76
>>>> 6e 0a
>>>
>>> 44 65 72 20 73 74 61 61 72 20 61 74 20 50 65 74 65 72 20 4b 72 75 73
>>> 65 20 65 6e 20 65 6e 20 6b 6c 6f 76 6e 2e 20 48 76 61 64 20 68 61 72
>>> 20 6a 65 67 20 76 75 6e 64 65 74 3f
>>>
>> 45 6E 20 68 61 74 20 61 66 20 6D 75 67
>
> 45 6e 20 74 61 78 61 62 6f 6e 3f
>
44 61 6E 73 6B 76 61 6E 64 20 74 69 6C 20 53 76 65 6E 64 65 21 20 28 68
65 6A 20 69 67 65 6E 2C 20 66 6F 72 72 65 73 74 65 6E 20 3A 2D 29
--
M.V.H
Christian Iversen

Steffen Juul Christe~ (27-01-2003)
Kommentar
Fra : Steffen Juul Christe~


Dato : 27-01-03 22:48

Christian Iversen wrote:

> >>>>50 65 74 65 72 20 4b 72 75 73 65 20 65 72 20 65 6e 20 6b 6c 6f 76
> >>>>6e 0a
> >>>
> >>>44 65 72 20 73 74 61 61 72 20 61 74 20 50 65 74 65 72 20 4b 72 75 73
> >>>65 20 65 6e 20 65 6e 20 6b 6c 6f 76 6e 2e 20 48 76 61 64 20 68 61 72
> >>>20 6a 65 67 20 76 75 6e 64 65 74 3f
> >>>
> >>
> >>45 6E 20 68 61 74 20 61 66 20 6D 75 67
> >
> >45 6e 20 74 61 78 61 62 6f 6e 3f
> >
>
> 44 61 6E 73 6B 76 61 6E 64 20 74 69 6C 20 53 76 65 6E 64 65 21 20
> 28 68
> 65 6A 20 69 67 65 6E 2C 20 66 6F 72 72 65 73 74 65 6E 20 3A 2D 29

Jeg kan også en, den er dog lidt anderledes. find ud af hvad det
manglende tal er i denne følge:
10, 11, 12, 13, 14, 15 20, 22, 30, 110, *

Mvh steffen


Jens Axel Søgaard (31-01-2003)
Kommentar
Fra : Jens Axel Søgaard


Dato : 31-01-03 18:16

Steffen Juul Christensen wrote:

> Jeg kan også en, den er dog lidt anderledes. find ud af hvad det
> manglende tal er i denne følge:
> 10, 11, 12, 13, 14, 15 20, 22, 30, 110, *

Tolv skrevet i (12-n)-systemet.

10 <-> 1*12 + 0 =12
11 <-> 1*11 + 1 =12
12 <-> 1*10 + 2 =12
13 <-> 1*9 +3 =12
14 <-> 1*8 + 4 =12
15 <-> 1*7 + 5 =12
20 <-> 2*6+0 =12
22 <-> 2*5 + 2 =12
30 <-> 3*4 +0 =12
110 <-> 1*9 + 1*3 +0 = 12

1100 <-> 1*8 + 1*4 + 0*2 +0 = 12
111111111111 <-> Overlades til læseren

--
Jens Axel Søgaard



F.Larsen (26-01-2003)
Kommentar
Fra : F.Larsen


Dato : 26-01-03 18:33

"Lars Kim Lund" <lkl@fabel.dk> wrote in message
> 48 76 61 64 20 68 61 72 20 6a 65 67 20 76 75 6e 64 65 74 3f

31 20 61 61 72 73 20 65 6D 61 69 6C 20 61 62 6F 6E 6E 65 6D 65 6E 74 20 70
E5 20 50 65 74 65 72 73 20 73 65 63 75 72 69 74 79 20 61 64 76 69 73 65 72
20 3F

:=)

--
Flemming



Peter Kruse (26-01-2003)
Kommentar
Fra : Peter Kruse


Dato : 26-01-03 19:48

"F.Larsen" <n0spam@spamfilter.dk> skrev i en meddelelse news:JXUY9.45868$Hl6.5498119@news010.worldonline.dk...
> 31 20 61 61 72 73 20 65 6D 61 69 6C 20 61 62 6F 6E 6E 65 6D 65 6E 74 20 70
> E5 20 50 65 74 65 72 73 20 73 65 63 75 72 69 74 79 20 61 64 76 69 73 65 72
> 20 3F

44 75 20 6B 61 6E 20 66 E5 20 65 74 20 67 72 61 74 69 73 20 61 62 6F 6E 6E 65 6D 65 6E 74 20 28 70 E5 20 70 72 F8 76 65 29 2E

3A2D29

/Peter

Alex Holst (25-01-2003)
Kommentar
Fra : Alex Holst


Dato : 25-01-03 21:32

(Indlaeg paa usenet boer holdes paa ~72-76 tegn per linie. Din advisory
kunne ogsaa godt traenge til at blive wrappet lidt.)

Peter Kruse <kruse@_rouchspam_railroad.dk> wrote:
> "Alex Holst" <a@mongers.org> skrev i en meddelelse news:o2uag-qdq.ln1@miracle.mongers.org...
>> Jeg ville ogsaa helst vaere fri for at bruge tid paa dig, men saa laenge
>> du bliver ved med at ytre forskellige former for vroevl der naesten
>> konstant strider 100% imod min viden, bliver jeg noedt til at
>> protestere. Det er saadan Usenet virker.
>
> "Strider 100%" mod din viden - er det fremførte eksempel det bedste du
> kan finde?

Nej, men jeg fortryder dybt at jeg tidligere har givet for meget hjaelp
til inkompetente og utaknemmelige skribenter her i gruppen der har
kommerciel interesse i at forbedre deres produkt. Det er en fejl jeg
ikke har taenkt mig at begaa to gange.

Nu samler jeg i stedet paa fejlene, og kaster dem i hovedet paa den
slags folk ved passende (eller upassende, afhaengig af synspunkt)
offentlige lejligheder.

I lyset af, at du siger jeg tager fejl, men du samtidigt har redigeret
"ping floode" ud af din online advisory, kan du rende og hoppe.

Venligst,
Alex

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Peter Kruse (25-01-2003)
Kommentar
Fra : Peter Kruse


Dato : 25-01-03 22:25

"Alex Holst" <a@mongers.org> skrev i en meddelelse news:ar8bg-eqg.ln1@miracle.mongers.org...
> (Indlaeg paa usenet boer holdes paa ~72-76 tegn per linie. Din advisory
> kunne ogsaa godt traenge til at blive wrappet lidt.)

Tak det kan jeg bruge til noget.

> I lyset af, at du siger jeg tager fejl, men du samtidigt har redigeret
> "ping floode" ud af din online advisory, kan du rende og hoppe.

Jeg har ikke taget "ping floode" ud af min advisory,
men det er korrekt, at der skulle stå pakke floode, eller flooding.
Det er blevet rettet.

Analysen af Sapphire.worm blev foretaget i morges og jeg har
sikkert været træt Det beklager jeg, men det er heller ikke
der jeg mener at formulere, at du tager fejl. Læs evt. mit svar igen.

Venligst
Peter





Sonny T. Larsen (25-01-2003)
Kommentar
Fra : Sonny T. Larsen


Dato : 25-01-03 23:00

On Sat, 25 Jan 2003 22:25:02 +0100, Peter Kruse wrote:

> Jeg har ikke taget "ping floode" ud af min advisory,
> men det er korrekt, at der skulle stå pakke floode, eller flooding.

"pakke floode"?

Det var dog en gang vrøvl.

Din advisory forekommer mig at være et mislykket opkog af de analyser,
du uden tvivl selv selv har læst på nettet.

De findes bedre og mere gennemarbejde.

De fleste er heldigvis ikke så sprogligt dårligt stillede, at de må nøjes
med dine dansksprogede advisories.

Tilbage til tegnebordet, Peter.

--
/Sonny - #include <std.disclaimer.h>

"I don't have an attitude problem, you have a perception problem."

Arne Schwerdtfegger (26-01-2003)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 26-01-03 14:20

"Peter Kruse" <kruse@_rouchSPAM_railroad.dk> wrote in
news:3e3300ac$0$13243$edfadb0f@dread11.news.tele.dk:

> Jeg har ikke taget "ping floode" ud af min advisory,

Det er jo løgn. I øvrigt har du _igen_ rettet i SQL_Sapphireworm.txt uden
at gøre opmærksom på det.

--
Knud

Jesper Dybdal (25-01-2003)
Kommentar
Fra : Jesper Dybdal


Dato : 25-01-03 22:36

Alex Holst <a@mongers.org> wrote:

>Nej, men jeg fortryder dybt at jeg tidligere har givet for meget hjaelp
>til inkompetente og utaknemmelige skribenter her i gruppen der har
>kommerciel interesse i at forbedre deres produkt. Det er en fejl jeg
>ikke har taenkt mig at begaa to gange.

Hvorfor er det en fejl?

Det forekommer mig at hvis udbredt inkompetence er et problem (og det er
vi sikkert enige om at det er), så løses det ikke ved at de kompetente
nægter at hjælpe de inkompetente.

Tværtimod kan problemet i nogen grad afhjælpes ved at de kompetente
hjælper de inkompetente.

Det er vel i høj grad netop det Usenet handler om.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Alex Holst (25-01-2003)
Kommentar
Fra : Alex Holst


Dato : 25-01-03 23:06

Jesper Dybdal <jdunet@u8.dybdal.dk> wrote:
> Alex Holst <a@mongers.org> wrote:
>
>>Nej, men jeg fortryder dybt at jeg tidligere har givet for meget hjaelp
>>til inkompetente og utaknemmelige skribenter her i gruppen der har
>>kommerciel interesse i at forbedre deres produkt. Det er en fejl jeg
>>ikke har taenkt mig at begaa to gange.
>
> Hvorfor er det en fejl?

Fordi jeg ikke vil hjaelpe inkompetente med at tage penge fra forbrugere
der ikke har mulighed for at vurdere hvad det er de koeber.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Brian Josefsen (25-01-2003)
Kommentar
Fra : Brian Josefsen


Dato : 25-01-03 23:34

Alex Holst wrote:
> Jesper Dybdal <jdunet@u8.dybdal.dk> wrote:
>
>>Alex Holst <a@mongers.org> wrote:
>>


Gider i lukke måsen et øjeblik hvis i ikke har andet for end at flame
hinanden? Det er en stor frustration at man føler man er nød til at læse
alle indlæg, det kunne jo være at en af jer to midt i jeres sure opstød
kom med noget konstruktiv, i kører i ring drenge, og med jeres erfaring
på usenet burde i vide bedre. Hvis i to nu tog en dialog med hinanden og
lavede det bedste opkog i kunne nå frem til, så kunne i bidrage til
listen med noget konstruktivt, det plejer i da at gøre.



-Josefsen
"Bare fordi du er paranoid, skal du ikke tro de ikke er efter dig"


Jesper Dybdal (26-01-2003)
Kommentar
Fra : Jesper Dybdal


Dato : 26-01-03 23:23

Brian Josefsen <josefsen@linuxinfo.dk> wrote:

>Alex Holst wrote:
>> Jesper Dybdal <jdunet@u8.dybdal.dk> wrote:
>>
>>>Alex Holst <a@mongers.org> wrote:
>
>Gider i lukke måsen et øjeblik hvis i ikke har andet for end at flame
>hinanden? Det er en stor frustration at man føler man er nød til at læse
>alle indlæg, det kunne jo være at en af jer to midt i jeres sure opstød
>kom med noget konstruktiv, i kører i ring drenge, og med jeres erfaring
>på usenet burde i vide bedre.

"Kører i ring"? Jeg har leveret ét indlæg i den tråd, og jeg mener
således ikke at jeg kører i ring. Og jeg mener ikke mit indlæg var
specielt surt - jeg synes egentlig mit indlæg i klart mindre grad end
dit indlæg her havde karakter af "surt opstød".

Og når Alex siger han ikke mere gider hjælpe (inkompetente) folk, så
synes jeg det er interessant hvorfor - og jeg vil gerne gøre mit for om
muligt at få ham til at skifte mening. Det er måske strengt taget
off-topic, men det er immervæk relevant for gruppens funktion i
fremtiden.

(Nu kom der to indlæg til fra mig - beklager, men så er det nok også
slut for denne omgang.)
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Jesper Dybdal (26-01-2003)
Kommentar
Fra : Jesper Dybdal


Dato : 26-01-03 23:23

Alex Holst <a@mongers.org> wrote:

>Jesper Dybdal <jdunet@u8.dybdal.dk> wrote:
>> Alex Holst <a@mongers.org> wrote:
>>
>>>Nej, men jeg fortryder dybt at jeg tidligere har givet for meget hjaelp
>>>til inkompetente og utaknemmelige skribenter her i gruppen der har
>>>kommerciel interesse i at forbedre deres produkt. Det er en fejl jeg
>>>ikke har taenkt mig at begaa to gange.
>>
>> Hvorfor er det en fejl?
>
>Fordi jeg ikke vil hjaelpe inkompetente med at tage penge fra forbrugere
>der ikke har mulighed for at vurdere hvad det er de koeber.

Tjah - men hvis de inkompetente nu har fået lidt hjælp fra fx dig, så er
det de stakkels forbrugere får for de penge de såmænd alligevel betaler,
måske mindre dårligt end det ellers ville være.

Jeg kan sagtens forstå din irritation, men jeg tror alligevel verden alt
andet lige bliver et bedre sted hvis man hjælper dem som man (med en
indsats man gider levere) kan hjælpe, end hvis man ikke gør. Selv hvis
de tjener nogle penge på det som de egentlig ikke har gjort sig fortjent
til, og selv hvis de i nogen grad er utaknemmelige.

Men selvfølgelig kan det blive *for* surt - jeg er ked af at høre at du
åbenbart finder at det punkt er nået.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Allan Olesen (27-01-2003)
Kommentar
Fra : Allan Olesen


Dato : 27-01-03 00:18

Jesper Dybdal <jdunet@u8.dybdal.dk> wrote:

>Tjah - men hvis de inkompetente nu har fået lidt hjælp fra fx dig, så er
>det de stakkels forbrugere får for de penge de såmænd alligevel betaler,
>måske mindre dårligt end det ellers ville være.

Eller maaske har de inkompetente faaet hjaelp til at faa
fjernet/skjult de mest ioejnefaldende fejl, saa de forbrugere,
der ellers ville have gennemskuet produktet, falder i og koeber
det.

Vi har jo desvaerre et tidligere eksempel paa et produkt, som med
hjaelp her fra gruppen ser ud til at have naaet den status.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Peder Vendelbo Mikke~ (26-01-2003)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 26-01-03 02:23

Peter Kruse skrev:

> Bemærk, at ormen, ikke har andre sideeffekter end massiv trafik!

Er det ikke slemt nok, at Cisco udstyr vælter (f.eks. Pix 535 (pga. manglende ram til at håndtere antallet af connections fra
indersiden))?

Er det ikke slemt nok, at windowsupdate.com er har været utilgængelig en
del af dagen?

Overvej eventuelt at læse på sans.org førend du publicerer noget i frem-
tiden:

<URL: http://isc.incidents.org/analysis.html?id=180 >

I øvrigt rammer den også MSDE 2000 (som bekendt bliver MSDE 2000 instal-
leret sammen med en stor flok produkter).


Kasper Dupont (26-01-2003)
Kommentar
Fra : Kasper Dupont


Dato : 26-01-03 10:35

Peder Vendelbo Mikkelsen wrote:
>
> Peter Kruse skrev:
>
> > Bemærk, at ormen, ikke har andre sideeffekter end massiv trafik!
>
> Er det ikke slemt nok, at Cisco udstyr vælter (f.eks. Pix 535 (pga. manglende ram til at håndtere antallet af connections fra
> indersiden))?

Har den ikke altid været for dårlig? Vi havde en Cisco Pix (jeg
er godt nok ikke klar over modelen) som gik ned i tide og utide.
I begyndelsen mente de, at den var underdimensioneret til det
antal DNS forespørgsler, der kom udefra. Men i sidste ende var
det alligevel nødvendigt at udskifte firewallen.

>
> Er det ikke slemt nok, at windowsupdate.com er har været utilgængelig en
> del af dagen?

Det er forhåbentlig fordi, folk langt om længe gør noget for at
opdatere deres software. Så ville det være en god idé med et
mirror. (Hvis den slags da kan lade sig gøre med windowsupdate).

>
> Overvej eventuelt at læse på sans.org førend du publicerer noget i frem-
> tiden:
>
> <URL: http://isc.incidents.org/analysis.html?id=180 >

Der er et link til Ciscos advisory, som sjovt nok ikke nævner
det problem, du snakkede om før.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Peder Vendelbo Mikke~ (27-01-2003)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 27-01-03 03:39

Kasper Dupont skrev:

> Peder Vendelbo Mikkelsen wrote:
>> Er det ikke slemt nok, at Cisco udstyr vælter (f.eks. Pix 535
>> (pga. manglende ram til at håndtere antallet af connections fra
>> indersiden))?

> Har den ikke altid været for dårlig?

Det har jeg ikke den fjerneste anelse om, vi har eksterne folk til at
skrue i vores firewall.

> Vi havde en Cisco Pix (jeg er godt nok ikke klar over modelen) som gik
> ned i tide og utide.

Det har vi ikke været ude for, nok fordi vi flyttede den inden der kom
mange brugere på de systemer som stod bagved.

>> Er det ikke slemt nok, at windowsupdate.com er har været
>> utilgængelig en del af dagen?

> Det er forhåbentlig fordi, folk langt om længe gør noget for at
> opdatere deres software.

Jeg tror det er en kombination af selve ormen (den skulle være i stand
til at producere store mængder data) og mange forsøg på at hente opda-
teringer

> Så ville det være en god idé med et mirror.

Jeg tror at selve opdateringerne er hostet forholdsvist tæt på kunden
(mener jeg at være blevet fortalt til et MS-Seminar engang), men ikke de
servere man skal gennem for at komme ind på windowsupdate.com (der er
noget med at man bliver omdirigeret fra windowsupdate.com til en anden
server som lige tjekker dig (siger rygterne) og først derefter kommer du
til den rigtige side hvor du kan starte scanningen af maskinen).

>> Overvej eventuelt at læse på sans.org førend du publicerer noget
>> i fremtiden:

>> <URL: http://isc.incidents.org/analysis.html?id=180 >

> Der er et link til Ciscos advisory, som sjovt nok ikke nævner det
> problem, du snakkede om før.

Tænker du på Netflow-buggen?

Så er det nok dette du overså:

""Misc. Quotes from ISC Intrusions List
=====================================

Posted by George William Herbert
Saturday, January 25, 2003 4:44 AM
bugtraq@securityfocus.comcom <bugtraq@securityfocus.com>

"Tier 1 backbones are reporting a bad night: routing instabilities, one
major dropped most of its peering for a while, the volume from this trig-
gers the Cisco netflow switching bug and is causing routers to lock up at
places, etc."

The netflow switching bug - Cisco Bug ID CSCdu72555 was addressed in
"Resolved Caveats Cisco IOS Release 12.0(18)S2"

http://www.cisco.com/en/US/products/sw/iosswrel/ps1829/prod_release_note09186a0080132a9f.html

Cross-Platform Release Notes for Cisco IOS Release 12.0 S, Part 3:
Caveats

In the section "Resolved Caveats Cisco IOS Release 12.0(18)S2" (note the
word "Resolved")

"CSCdu72555 Running Sampled NetFlow to collect the traffic from a 3-port
Gigabit Ethernet line card on a Cisco 12016 Internet router may only
collect traffic on the first Gigabit interface. There is no workaround.""

Pix535:

<URL: http://online.securityfocus.com/archive/1/308370 >

HP4000 switch:

<URL: http://online.securityfocus.com/archive/1/308319 >


Allan Olesen (26-01-2003)
Kommentar
Fra : Allan Olesen


Dato : 26-01-03 13:12

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote:

>> Bemærk, at ormen, ikke har andre sideeffekter end massiv trafik!
>
>Er det ikke slemt nok, at Cisco udstyr vælter (f.eks. Pix 535 (pga. manglende ram til at håndtere antallet af connections fra
>indersiden))?
>
>Er det ikke slemt nok, at windowsupdate.com er har været utilgængelig en
>del af dagen?

Nu er det ikke fordi jeg har den store lyst til at forsvare Peter
Kruse. Men er de to ting, du naevner, ikke typiske foelger af
massiv trafik?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Peder Vendelbo Mikke~ (27-01-2003)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 27-01-03 03:44

Allan Olesen skrev:

> "Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote:

>>> Bemærk, at ormen, ikke har andre sideeffekter end massiv trafik!

>> Er det ikke slemt nok, at Cisco udstyr vælter (f.eks. Pix 535
>> (pga. manglende ram til at håndtere antallet af connections fra
>> indersiden))?

>> Er det ikke slemt nok, at windowsupdate.com er har været
>> utilgængelig en del af dagen?

> Nu er det ikke fordi jeg har den store lyst til at forsvare Peter
> Kruse. Men er de to ting, du naevner, ikke typiske foelger af
> massiv trafik?

Joh, det har du da vist ret i. Tak fordi du fangede fejlen og undskyld
til Peter Kruse.


Christian E. Lysel (27-01-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 27-01-03 01:04

Peter Kruse wrote:
> Og det er præcis det som sker når en server sender så store mængder UDP pakker ud mod
> tilfældige IP adresser (host). Når mange servere påvirkes kan core routere og andet centralt
> udstyr blive påvirke og begynde at hoste. Jeg skriver altså, eller forsøger på det, at ormens
> formål er at anvende sårbare SQL servere til at nå dette mål. Hele koden er skrevet med det
> formål at overbelaste systemer og foretage interne og eksterne DoS.

Mener du stadigvæk at formålet er "at overbelaste systemer og foretage
interne og eksterne DoS", når pakkerne sendes til port 1434/udp som er
den samme port som MSSQL lytter på.

Formålet med koden kan vi ikke vide, men jeg mener det er mere
sandsynligt at det "blot" er en "bivirkning", fordi DoS angreb kan kodes
meget mere effektivt.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Niels Teglsbo (27-01-2003)
Kommentar
Fra : Niels Teglsbo


Dato : 27-01-03 03:00

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote:

> Formålet med koden kan vi ikke vide, men jeg mener det er mere
> sandsynligt at det "blot" er en "bivirkning", fordi DoS angreb kan kodes
> meget mere effektivt.

Men det er interessant, at ormen bruger UDP-pakker, det betyder at der
sendes 400 bytes til modtagermaskinen, lige meget om den svarer eller ej.

En TCP-SYN fylder kun i omegnen af 64 bytes, fx Code Red brugte TCP.

Og så vil langt de fleste protokolstakke nok også være meget hurtigere til
at sende én UDP-pakke end til at (forsøge at) oprette en TCP-forbindelse.

Jeg ved dog ikke om TCP vil vente med at oprette TCP-forbindelser fordi den
ved, at der bliver smidt mange pakker væk på eksisterende forbindelser, jeg
tror det ikke. Dog vil der måske være en maksimal grænse for hvor mange
forbindelser den kan forsøge at oprette på én gang, hvilket også kan sænke
hastigheden.

Har ormen nogen rate-limiting (hastighedsbegrænsning)? Eller står den i en
løkke, der ikke laver andet end at finde tilfældige IP-adresser og sende
UDP-pakker til dem? Hvis det er det sidste vil den altså få netkortet til
at sende lige så hurtigt det kan, og UDP er hamrende ligeglad med, at
routeren smider de fleste pakker væk, og selvfølgelig også ligeglad med, at
routeren kan blive meget hårdt belastet af alle de pakker.

Hvis den bare står og sender UDP-pakker uden afbrydelse er det da et
rimeligt effektivt DoS-angreb på internet som helhed, men selvfølgelig ikke
specielt effektivt hvis man tror det er et angreb mod fx Microsoft etc.

--
Niels, The Offspring Mailinglist www.image.dk/~teglsbo
PGP ID: 0x79701FB3 FP: 14CE E6BA 29CC 4ECE D7A3 30D3 FB74 A1CB 7970 1FB3

Peter Kruse (27-01-2003)
Kommentar
Fra : Peter Kruse


Dato : 27-01-03 09:01

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse news:b11sro$o6r$1@sunsite.dk...
> Peter Kruse wrote:
> Mener du stadigvæk at formålet er "at overbelaste systemer og foretage
> interne og eksterne DoS", når pakkerne sendes til port 1434/udp som er
> den samme port som MSSQL lytter på.

Ja, det er min opfattelse.

Der er flere forhold som gør, at det virker rimeligt at formode. Min pointe er netop, at ormen
anvender sårbare SQL severe, som dæmoner i det massive DDoS, som mange ISP'ere oplevede tidligt
lørdag morgen, hvor den primære payload (eller hvor ormen har forvoldt største skade) har været mod
centrale DNS servere, og coreroutere. Denne teknik, som ormen anvender, har været drøftet før blandt
antivirus producenter. Der har sågar været foretaget tests, som har påvist, at det var muligt, at lamme
knudepunkter i nettet ved at anvende aggressiv UDP scanning.Jeg tror noget af det materiale er offentligt
tilgængeligt.

Som jeg tidligere har nævnt, er det også et særdeles godt tidspunkt, at ormen er blevet sluppet løs på.
Det har helt sikkert været planlagt og der har i en periode frem til løsladelse af ormen været foretaget
forsigtige stikprøver/probes.

> Formålet med koden kan vi ikke vide, men jeg mener det er mere
> sandsynligt at det "blot" er en "bivirkning", fordi DoS angreb kan kodes
> meget mere effektivt.

Nej, du har ret, vi kan aldrig være sikre.

Men det er faktisk et ret så effektivt DoS, som en enkelt maskine kan forårsage mod f.eks. en router,
som står foran en kompromitteret SQL server. Men effekten af flere hosts på et subnet kan være
"dødelig" for både en router og en firewall (som det også er nævnt i tråden).

En anden åbenlys indikation, som naturligvis ikke kan give os det komplete svar, er at ormen
ikke indeholder noget budskab. Der er ingen tekststrenge i ormen, ingen politiske, ideologiske,
eller religiøse budskaber. Det forekommer sjældent, at en orm ikke foretager ændringer, eller
reklamerer med at den har inficeret maskinen. Den første indikation på, at en server er blevet
kompromitteret, er ofte at serveren stopper med at svare, eller andre enheder i samme net påvirkes
af den massive UDP strøm.

Venligst
Peter Kruse

Christian E. Lysel (28-01-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 28-01-03 00:06

Peter Kruse wrote:
> Der er flere forhold som gør, at det virker rimeligt at formode. Min pointe er netop, at ormen
> anvender sårbare SQL severe, som dæmoner i det massive DDoS, som mange ISP'ere oplevede tidligt
> lørdag morgen, hvor den primære payload (eller hvor ormen har forvoldt største skade) har været mod

Hvis man virkelig ville lave skade ved overbelastning af IP-nettet,
ville det være nemmere at komprimentere forskellige typer services
istedet for kun at gå efter MSSQL

> Men det er faktisk et ret så effektivt DoS, som en enkelt maskine kan forårsage mod f.eks. en router,
> som står foran en kompromitteret SQL server. Men effekten af flere hosts på et subnet kan være
> "dødelig" for både en router og en firewall (som det også er nævnt i tråden).

Tilfældige sikret maskiner på internettet og ikke core routere ser jeg
ikke noget problem med. Fx var vores site som er delt over 3
lokalitioner ikke pårørt. Vi modtog i gennemsnit pr. site pr. minut, 1
pakke.

> En anden åbenlys indikation, som naturligvis ikke kan give os det komplete svar, er at ormen
> ikke indeholder noget budskab. Der er ingen tekststrenge i ormen, ingen politiske, ideologiske,
> eller religiøse budskaber. Det forekommer sjældent, at en orm ikke foretager ændringer, eller
> reklamerer med at den har inficeret maskinen. Den første indikation på, at en server er blevet
> kompromitteret, er ofte at serveren stopper med at svare, eller andre enheder i samme net påvirkes
> af den massive UDP strøm.

Det sørgelige er at folk typisk blot patcher deres server uden at kikke
på deres firewall.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Christian E. Lysel (28-01-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 28-01-03 00:35

Peter Kruse wrote:
> Der er flere forhold som gør, at det virker rimeligt at formode. Min pointe er netop, at ormen
> anvender sårbare SQL severe, som dæmoner i det massive DDoS, som mange ISP'ere oplevede tidligt
> lørdag morgen, hvor den primære payload (eller hvor ormen har forvoldt største skade) har været mod

Hvis man virkelig ville lave skade ved overbelastning af IP-nettet,
ville det være nemmere at komprimentere forskellige typer services
istedet for kun at gå efter MSSQL

> Men det er faktisk et ret så effektivt DoS, som en enkelt maskine kan forårsage mod f.eks. en router,
> som står foran en kompromitteret SQL server. Men effekten af flere hosts på et subnet kan være
> "dødelig" for både en router og en firewall (som det også er nævnt i tråden).

Tilfældige sikret maskiner på internettet og ikke core routere ser jeg
ikke noget problem med. Fx var vores site som er delt over 3
lokalitioner (inkl. hong kong) ikke pårørt. Vi modtog i gennemsnit pr.
site pr. minut, 1 pakke.

> En anden åbenlys indikation, som naturligvis ikke kan give os det komplete svar, er at ormen
> ikke indeholder noget budskab. Der er ingen tekststrenge i ormen, ingen politiske, ideologiske,
> eller religiøse budskaber. Det forekommer sjældent, at en orm ikke foretager ændringer, eller
> reklamerer med at den har inficeret maskinen. Den første indikation på, at en server er blevet
> kompromitteret, er ofte at serveren stopper med at svare, eller andre enheder i samme net påvirkes
> af den massive UDP strøm.

Det sørgelige er at folk typisk blot patcher deres server uden at kikke
på deres firewall. Hvilket også er den løsningsmodel du anbefalder!

Hvad med at løse problemet, således at det ikke gentager sig næste gang
der bliver fundet en ny sårbarhed, fx ved at forhindre servicen i at
kunne nåes fra Internet og at serveren kan nå Internet med den samme
service?


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Peter Kruse (28-01-2003)
Kommentar
Fra : Peter Kruse


Dato : 28-01-03 00:40

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse news:b14fh7$sl5$1@sunsite.dk...

Hej Christian,

> Det sørgelige er at folk typisk blot patcher deres server uden at kikke
> på deres firewall. Hvilket også er den løsningsmodel du anbefalder!

Det er faktisk ikke helt rigtigt. Jeg skriver netop at løsningen, er at opdatere,
hvis denne service nødvendigvis skal nås fra Internet.

> Hvad med at løse problemet, således at det ikke gentager sig næste gang
> der bliver fundet en ny sårbarhed, fx ved at forhindre servicen i at
> kunne nåes fra Internet og at serveren kan nå Internet med den samme
> service?

Vi kan jo ikke lukke alle services. Jeg ser din pointe og vil give dig helt ret.
En nærliggende og logisk løsning er selvfølgelig en strikt firewall policy.
Det er dog nødvendigt, at tage stilling til hvorvidt en service overhovedet skal
kunne nås fra Internet, men hvis den skal nås, bør den bagvedliggende
applikation opdateres behørigt. En sådan procedure kan med fordel forankres
i en sikkerhedspolitik.

Venligst
Peter Kruse


Christian E. Lysel (28-01-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 28-01-03 23:12

Peter Kruse wrote:
>> Det sørgelige er at folk typisk blot patcher deres server uden at
>> kikke på deres firewall. Hvilket også er den løsningsmodel du
>> anbefalder!
> Det er faktisk ikke helt rigtigt. Jeg skriver netop at løsningen, er
> at opdatere, hvis denne service nødvendigvis skal nås fra Internet.

Det skrives der intet om, det kan godt være meningen var dette, men det
er ikke tilfældet.

I stedet skriver du følgende,

....Det skal bemærkes at en regel i en firewall, eller en opdatering af
SQLserver softwaren, bør foretages for at forhindre, at maskinen efter
genstart reinficeres. ...

....Hvis du mener, at du allerede er ramt af SQL.Sapphire.worm, kan du
gøre følgende:

1. Genstart din server
2. Deaktiverer midlertidigt SQL Server
3. Opdaterer din server med nedenståendestående patch/opdatering fra
Microsoft (MS02-039)
4. Aktiver SQL server software ...

....Kruse Security anbefaler, at opdatere Microsoft SQL server software
med følgende opdatering, som er tilgængelig fra Microsoft...

....Det er derfor vigtigt, at opdatere SQLserver software, eller forbedre
den eksisterende sikkerhedspolitik...



Når du skriver om sikkerhedspolitiken er dette i forbindelse med et
"eller", ikke et "og".

> Vi kan jo ikke lukke alle services. Jeg ser din pointe og vil give

Jeg har aldrig set et setup hvor en Internet havde brug for adgang til
en SQL service.

> dig helt ret. En nærliggende og logisk løsning er selvfølgelig en
> strikt firewall policy. Det er dog nødvendigt, at tage stilling til

Hvilket altid har været tilfældet hos mine tilligere kunder og nuværende
installationer.

> hvorvidt en service overhovedet skal kunne nås fra Internet, men hvis
> den skal nås, bør den bagvedliggende applikation opdateres behørigt.

Endvidere er det interessant at se så mange installationer hvor fx en
DMZ har adgang til Internet, så orme rigtigt kan sprede sig igen, blot
fordi administratorene har brug for at hente patches direkte fra Internet.

> En sådan procedure kan med fordel forankres i en sikkerhedspolitik.

Ja, skriv det.

> Venligst Peter Kruse
>

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Peter Kruse (29-01-2003)
Kommentar
Fra : Peter Kruse


Dato : 29-01-03 10:09

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse news:b16v1u$c4g$1@sunsite.dk...
> Det skrives der intet om, det kan godt være meningen var dette, men det
> er ikke tilfældet.

Hej Christian,

Det var ihvertfald min intention, men du har nok ret i at det er alt for utydeligt. Tak for tippet. Jeg vil opdatere advisorien, så der tages højde for at en nærliggende løsning er, at blokkere for indgående trafik til SQL services hvis de ikke anvendes.

Venligst
Peter Kruse


Christian E. Lysel (29-01-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 29-01-03 10:45

Peter Kruse wrote:
> Det var ihvertfald min intention, men du har nok ret i at det er alt for utydeligt. Tak for tippet. Jeg vil opdatere advisorien, så der tages højde for at en nærliggende løsning er, at blokkere for indgående trafik til SQL services hvis de ikke anvendes.

Hvis det skal være seriøst bør du nok skrive om både indgående og
udgående regler.

En bærbar klient der bliver inficeret på et kunde besøg, bliver sat til
at sove og vækket igen ude på arbejdet. Wupti er SQL serverne på
arbejdsdet inficeret (lidt ala Microsofts forklaring på hvorfor de også
er ramt). Man kan også forstille sig et ligende senarie med VPN brugere,
det først bliver inficeret for derefter at køre VPN og inficeret det
fjerne net.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Palle Larsen (26-01-2003)
Kommentar
Fra : Palle Larsen


Dato : 26-01-03 22:24

Hej Peter!

Der er enkelte jeg har valgt ikke at modtage indlæg fra, selvom de fra
tid til anden godt kan sige noget fornuftigt, men de bruger oceaner af
tid på at genere alm. mennesker, deres guru bor desværre i samme by
som mig, men han representere HELDIGVIS ikke flertallet af indbyggere,
vi er normalt venlige og forstående, hvis jeg var dig ville jeg
simpelthen bare putte dem i dit filter, lidt ærgeligt men da de har
gjort det til en dyd at stampe rundt som om dette forum er deres, og
kun de har ret, kan man jo også måske blive nødttil at droppe denne
NG, men det kan da IKKE være meningen.............. eller kan
det!?!?!?!?!?

Peter, hop op og fald ned på hvad klogeåge og hans noiceteam skriver,
deres arrogance vil måske bringe dem i knæ på et tidspunkt i livet, så
må man jo håbe at der er noget familie tilbage som kan holde deres
bitterhed ud.

Peter frisk mod, vi er ikke alle lige så kloge som swingklubben, men
vi prøver da at hygge os med inet og NG's 8)

Til andre i denne NG, undskyld at jeg var OT, jeg lover det bliver
sidste gang.

MVH.

Palle Larsen.

On Sat, 25 Jan 2003 17:46:56 +0100, "Peter Kruse"
<kruse@_rouchSPAM_railroad.dk> wrote:

>"Alex Holst" <a@mongers.org> skrev i en meddelelse news:h9qag-7lj.ln1@miracle.mongers.org...
>
>> Som altid er dine advisories blot forkerte danske oversaettelser af
>> engelske ditto.
>
>Helt ærligt gider jeg ikke bruge tid på dig. Jeg samarbejder med mange
>mennesker og ønsker ingen dialog med dig. Fri mig for dine evindelige
>guddommelige bedømmelser. Du har ingen ret til sådanne udtalelelser
>medmindre du har lyst til at uddybe hvori min analyse er forkert, eller
>ukorrekt. Jeg har arbejdet på denne analyse siden jeg fik det første
>sample kl. 8.37 i morges. Der sad du sikkert og skrev på dit OSS,
>eller lavede juleønsker for 2004.
>
>Jeg har simpelthen fået nok af dig!
>
>/Peter
>
>


Jonathan Stein (27-01-2003)
Kommentar
Fra : Jonathan Stein


Dato : 27-01-03 13:39

Palle Larsen wrote:

> Peter frisk mod, vi er ikke alle lige så kloge som swingklubben, men
> vi prøver da at hygge os med inet og NG's 8)

Der er intet krav om at man skal være super duper ekspert for at færdes her i gruppen, men hvis
man prøver at udgive sig for at være det uden at have belæg for det, så bliver det hurtigt
gennemskuet.
Hvis du synes nogen farer op over småting i dette tilfælde, hænger det måske sammen med hvad
Peter Kruse tidligere har skrevet i gruppen. Prøv evt. at søge på Google.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Palle Larsen (27-01-2003)
Kommentar
Fra : Palle Larsen


Dato : 27-01-03 02:00


Hej Jonathan!

On Mon, 27 Jan 2003 13:39:06 +0100, Jonathan Stein <jstein@image.dk>
wrote:


> Hvis du synes nogen farer op over småting i dette tilfælde, hænger det måske sammen med hvad
>Peter Kruse tidligere har skrevet i gruppen. Prøv evt. at søge på Google.

Nej, jeg er IKKE expert, så jeg vil ikke kigge på hvem der har sagt
hvad, det eneste jeg sætter fingeren på er den arrogance og
bedrevidende adfær nogle her på denne NG udøver, intet andet.

Nå men nok støj fra mig.

MVH.
Palle.




Jonathan Stein (27-01-2003)
Kommentar
Fra : Jonathan Stein


Dato : 27-01-03 19:18

Palle Larsen wrote:

> > Hvis du synes nogen farer op over småting i dette tilfælde, hænger det
> >måske sammen med hvad Peter Kruse tidligere har skrevet i gruppen. Prøv
> >evt. at søge på Google.
>
> Nej, jeg er IKKE expert, [...]

Man behøver ikke være ekspert for at søge på Google. Du skrev som om Peter Kruse var en ny
deltager i gruppen (ellers ville der vel ikke være grund til at give ham råd om gruppens gamle
deltagere), og derfor henviste jeg til, at reaktionerne på hans indlæg måske hang sammen med hvad
han tidligere har skrevet i gruppen.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Palle Larsen (27-01-2003)
Kommentar
Fra : Palle Larsen


Dato : 27-01-03 06:39

Hej Jonathan!

Jeg kan GODT bruge google, jeg ved GODT Peter IKKE er NY, men jeg kan
bare godt sætte mig i hans sted for jeg kender godt fj*lset han
diskuterede med, og nu synes jeg du er ved at trække denne tråd lidt
for lang, skal vi ikke stoppe, inden det begynder at ligne
flueknepperi.

Hvad der har været af misforståelser i tidligere tråde er ikke
interessant, ikke for mig.

EOD

MVH.
Palle.



On Mon, 27 Jan 2003 19:17:39 +0100, Jonathan Stein <jstein@image.dk>
wrote:

> Man behøver ikke være ekspert for at søge på Google. Du skrev som om Peter Kruse var en ny
>deltager i gruppen (ellers ville der vel ikke være grund til at give ham råd om gruppens gamle
>deltagere), og derfor henviste jeg til, at reaktionerne på hans indlæg måske hang sammen med hvad
>han tidligere har skrevet i gruppen.
>
> M.v.h.
>
> Jonathan


Peter Brodersen (27-01-2003)
Kommentar
Fra : Peter Brodersen


Dato : 27-01-03 21:53

On Mon, 27 Jan 2003 06:39:28 +0100, Palle Larsen <PL@notanemail.nn>
wrote:

>Hvad der har været af misforståelser i tidligere tråde er ikke
>interessant, ikke for mig.

Eh, det er interessant for dig hvad nogle har sagt i tidligere tråde
(idet du har besluttet for at de er fj*lser), men det er ikke
interessant hvad andre har sagt?

For mig at se lyder det ret meget som om, man "vælger side", fremfor
at man går efter bolden.

--
- Peter Brodersen

Palle Larsen (27-01-2003)
Kommentar
Fra : Palle Larsen


Dato : 27-01-03 08:31

Hej Peter!


On Mon, 27 Jan 2003 21:52:37 +0100, Peter Brodersen <usenet@ter.dk>
wrote:

>On Mon, 27 Jan 2003 06:39:28 +0100, Palle Larsen <PL@notanemail.nn>
>wrote:
>
>>Hvad der har været af misforståelser i tidligere tråde er ikke
>>interessant, ikke for mig.
>
>Eh, det er interessant for dig hvad nogle har sagt i tidligere tråde
>(idet du har besluttet for at de er fj*lser), men det er ikke
>interessant hvad andre har sagt?

Nej, fordi det jeg reagere på er deres attitude, intet andet, man ser
den også når en ny stiller et spørgsmål som den udvalgte skare ikke
synes om, så får spørgeren et verbalt lag tæsk, istedet for at hjælpe
eller simpelthen ignorere brevet, og så kørere det ellers på
flueknepperi resten af vejen, men som jeg skrev i sidste brev skal vi
ikke stede dette dødføte barn til hvile, bare for ikke at få en
rundtur mere.

Arrogance bringer ikke noget godt med sig, og hvem er så begavet at
han kan tillade sig at tale ned til folk, hvis bare enkelte personer
ville behandle andre som voksne mennesker og ikke en flok dumme børn.

Vi er jo altså en del som åbentbart ikke er så kloge som visse andre.

>
>For mig at se lyder det ret meget som om, man "vælger side", fremfor
>at man går efter bolden.

Nej, men jeg afskyr folk med en dårlig attitude, længere er den ikke.

Lad os alle stede denne tråd til hvile, vi kommer alligevel ikke
længere.

---
hvis A er gud så er jeg ateist, jeg hader store flokke af får, de
støjer og lugter.

Alex Holst (28-01-2003)
Kommentar
Fra : Alex Holst


Dato : 28-01-03 02:23

Palle Larsen <PL@notanemail.nn> wrote:
> hvis A er gud så er jeg ateist, jeg hader store flokke af får, de
> støjer og lugter.

Du kender hverken mig eller disse folk du kalder "faar."

Ligesom du hader arrogance og faar, er det vel ok at nogle skribenter
ikke bryder sig om at folk udtaler sig om noget de ikke har forstand
paa?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Henrik Koksby Hansen (25-01-2003)
Kommentar
Fra : Henrik Koksby Hansen


Dato : 25-01-03 19:37

>Samtidig ses en meddelelse som på http://garm.adm.ku.dk/kunet/message/
>hvor det ses, at der åbenbart er udbrudt port-1434/udp (MSSQL) angreb
>rundt omkring.
>
>Er der nogen der ved hvilken orm, der i givet fald er gang i?
[...]

http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html


/Henrik

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408928
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste