/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
formmail honeypot
Fra : Kai Birger Nielsen


Dato : 08-05-03 12:25

Ak. Jeg kom til at kigge i logfilerne til et webhotel, jeg
har købt mig: www.246.dk Der er sjove ting at se, fx:


"GET /cgi-bin/formmail.pl?email=rockstar@mail.com&subject=www.246.dk/cgi-bin/formmail.pl&message=rockstar&recipient=inalci@aol.com HTTP/1.1"

Det fik mig for en kort stund til at overveje at sætte en
formmail op, der med et døgns forsinkelse sender alt trafik
videre til hr inalci. Alternativt kunne den sende en mail
til abuse@aol.com med inalci@aol.com som subject

Er der nogen her, der har moret sig med sligt ?

mvh Birger Nielsen (bnielsen@daimi.au.dk)


 
 
Lars Møller (08-05-2003)
Kommentar
Fra : Lars Møller


Dato : 08-05-03 17:58



Kai Birger Nielsen wrote:
> Ak. Jeg kom til at kigge i logfilerne til et webhotel, jeg
> har købt mig: www.246.dk Der er sjove ting at se, fx:
>
>
> "GET /cgi-bin/formmail.pl?email=rockstar@mail.com&subject=www.246.dk/cgi-bin/formmail.pl&message=rockstar&recipient=inalci@aol.com HTTP/1.1"
>

Han er også at finde 25 gange i mine weblogs for den sidste måned

> Det fik mig for en kort stund til at overveje at sætte en
> formmail op, der med et døgns forsinkelse sender alt trafik
> videre til hr inalci.

Er det næsten ikke for meget besvær,

> Alternativt kunne den sende en mail
> til abuse@aol.com med inalci@aol.com som subject
>
En rigtig god idé

> Er der nogen her, der har moret sig med sligt ?
>
> mvh Birger Nielsen (bnielsen@daimi.au.dk)
>

Mvh

Lars


Andrew Engels Rump (~ (13-05-2003)
Kommentar
Fra : Andrew Engels Rump (~


Dato : 13-05-03 15:48

After drinking 3 Pan Galactic Gargle Blasters, Lars Møller
<larsmo@post3.tele.dk> mumbled in news:3EBA8C88.9040302@post3.tele.dk:
> Kai Birger Nielsen wrote:
>> Ak. Jeg kom til at kigge i logfilerne til et webhotel, jeg
>> har købt mig: www.246.dk Der er sjove ting at se, fx:
>> "GET /cgi-bin/formmail.pl?email=rockstar@mail.com&subject=
>> www.246.dk/cgi-bin/formmail.pl&message=rockstar&recipient=
>> inalci@aol.com HTTP/1.1"
> Han er også at finde 25 gange i mine weblogs for den sidste måned
>> Det fik mig for en kort stund til at overveje at sætte en
>> formmail op, der med et døgns forsinkelse sender alt trafik
>> videre til hr inalci.
> Er det næsten ikke for meget besvær,

Øh, vil du sende noget til en adresse en tilfældig person har
forsøgt at give til et FormMail-script som han troede var (åbent)
på din maskine?

>> Alternativt kunne den sende en mail
>> til abuse@aol.com med inalci@aol.com som subject
> En rigtig god idé

Øh, er du sikker på at AOL har noget med sagen at gøre? Du skal
passe RIGTIG meget på hvilke oplysninger du bruger til at anklage
andre med!

>> Er der nogen her, der har moret sig med sligt ?

Jep. Jeg har adskillige FormMail honeypots på adskillige server,
men du kan ikke bruge noget som helst af de oplysninger som din
FormMail hacker har opgivet - lige med undtagelse af hans IP-
adresse - som også står i din logfil.

Alt andet kan være falsk og f.eks. bare et forsøg på at genere
en tredje person ved at sende FormMail mails via dit åbne
FormMails script - hvis du havde et.

Andrew
--
*** The opinions expressed are not necessarily those of my employer. ***
* Software Engineer Andrew Engels Rump * BLIK og ROERarbejderforbundet *
* Immerkaer 42, 2650 Hvidovre * Tlf: +45 3638 3638, Fax: +45 3638 3639 *
Home: N55°41'38.9" E12°29'08.6" (WGS 84) Work: N55°39'50.9" E12°27'47.4"
E-mail: mailto:newandrew@rump.dk WWW http://www.rump.dk/homepage/andrew/

Kai Birger Nielsen (14-05-2003)
Kommentar
Fra : Kai Birger Nielsen


Dato : 14-05-03 08:43

In <Xns937AAB915D86Bnewandrewrumpdk@212.242.40.196> "Andrew Engels Rump (formerly Leif Andrew Rump)" <newandrew@rump.dk> writes:

>After drinking 3 Pan Galactic Gargle Blasters, Lars Møller
><larsmo@post3.tele.dk> mumbled in news:3EBA8C88.9040302@post3.tele.dk:
>> Kai Birger Nielsen wrote:
>>> Ak. Jeg kom til at kigge i logfilerne til et webhotel, jeg
>>> har købt mig: www.246.dk Der er sjove ting at se, fx:
>>> "GET /cgi-bin/formmail.pl?email=rockstar@mail.com&subject=
>>> www.246.dk/cgi-bin/formmail.pl&message=rockstar&recipient=
>>> inalci@aol.com HTTP/1.1"
>> Han er også at finde 25 gange i mine weblogs for den sidste måned
>>> Det fik mig for en kort stund til at overveje at sætte en
>>> formmail op, der med et døgns forsinkelse sender alt trafik
>>> videre til hr inalci.
>> Er det næsten ikke for meget besvær,

>Øh, vil du sende noget til en adresse en tilfældig person har
>forsøgt at give til et FormMail-script som han troede var (åbent)
>på din maskine?

Jeg overvejede det, ja. Udfra loggen så det ud til at adressen
var ment til opsamling af openrelay formmailscripts.

>>> Alternativt kunne den sende en mail
>>> til abuse@aol.com med inalci@aol.com som subject
>> En rigtig god idé

>Øh, er du sikker på at AOL har noget med sagen at gøre? Du skal
>passe RIGTIG meget på hvilke oplysninger du bruger til at anklage
>andre med!

Klap hesten. Den slags mails fra mig plejer at citere det, jeg
opfatter som bevismateriale, verbatim og med en klar angivelse
af at jeg _tolker_ det som værende noget, der skal kigges efter
i sømmene.

>>> Er der nogen her, der har moret sig med sligt ?

>Jep. Jeg har adskillige FormMail honeypots på adskillige server,
>men du kan ikke bruge noget som helst af de oplysninger som din
>FormMail hacker har opgivet - lige med undtagelse af hans IP-
>adresse - som også står i din logfil.
>
>Alt andet kan være falsk og f.eks. bare et forsøg på at genere
>en tredje person ved at sende FormMail mails via dit åbne
>FormMails script - hvis du havde et.

Ja, men det _ligner_ nu mistænkeligt en, der fisker efter
åbne formmailscripts. Vi er enige i at det kan være fup, men
det tror jeg ikke at det er. Det var derfor jeg spurgte til om
andre kiggede deres logfiler efter for den slags og om de evt
havde noget semiautomatisk rapportering sat op. Vi rapporterer
fx portscans på den måde.

mvh Birger Nielsen (bnielsen@daimi.au.dk)


Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste