|
| Symantec Firewall (nej jeg er ikke brugere~ Fra : Kim Noer |
Dato : 18-05-04 10:12 |
|
Davsen der ..
Forsøg på indtrængen "MSSQL_Null_Packet_DoS" i computeren blev konstateret
og blokeret
Indtrængende: 212.x.x.x (http(80))
Risikoniveau: Lav
Protokol: TCP
Angrebet IP: (62.x.x.x).
Angrebet port: ms-sql-s(1433)
Jeg står for serveren 212.x.x.x, og der kører en webserver på denne. Brugere
har da skrevet til mig, og jeg er ikke sikker på hvordan jeg skal fortolke
denne 'advarelse' fra kundens program. Umiddelbart ligner det et svar fra
min server tilbage til hans internet browser, som (måske?) har lukket porten
igen (1433) eller lign.?
Så hvem har et problem? Mig, brugeren eller os begge?
--
I doubt, therefore I might be.
| |
Alex Holst (18-05-2004)
| Kommentar Fra : Alex Holst |
Dato : 18-05-04 15:43 |
|
Kim Noer wrote:
> Davsen der ..
>
> Forsøg på indtrængen "MSSQL_Null_Packet_DoS" i computeren blev konstateret
> og blokeret
Ha. Saa hjernelam troede jeg alligevel ikke at "de store" personlige
firewalls kunne vaere.
> Så hvem har et problem? Mig, brugeren eller os begge?
Det kommer an paa, om du tjener penge paa at disse brugere kan se dit
website. Du kan sende vedkommende i retning af:
http://sikkerhed-faq.dk/hjemme_net#fwbesked
Dette afsnit skal ioevrigt opdateres til at naevne dumme state engines i
visse personlige firewall produkter, lader det til.
Det kunne vaere sjovt nok at faa at vide hvilken side de besoeger, der
forsager den besked i deres program. Saa ville jeg soerge for, at alle
mine websites indeholdte data til at trigge den slags.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Kim Noer (18-05-2004)
| Kommentar Fra : Kim Noer |
Dato : 18-05-04 19:05 |
|
Alex Holst wrote:
> Det kommer an paa, om du tjener penge paa at disse brugere kan se dit
> website. Du kan sende vedkommende i retning af:
Det gør jeg (eller, det gør firmaet).
> http://sikkerhed-faq.dk/hjemme_net#fwbesked
Taks, den smider jeg efter kunden (og beder ham passende om at købe en
hw-firewall, eller får sin sw-firewall at klappe i :).
> Det kunne vaere sjovt nok at faa at vide hvilken side de besoeger, der
> forsager den besked i deres program. Saa ville jeg soerge for, at alle
> mine websites indeholdte data til at trigge den slags.
Mjaeh, det gør alle sider, jeg kan se at min IE er nået til port 1444.
--
Speaker : "And here we are at the start of the second semifinale of the
100 yards for people without any sense of direction."
| |
Kim Noer (19-05-2004)
| Kommentar Fra : Kim Noer |
Dato : 19-05-04 11:48 |
|
"Alex Holst" <a@mongers.org> wrote in message
news:40aa20d3$0$179$edfadb0f@dtext02.news.tele.dk
> http://sikkerhed-faq.dk/hjemme_net#fwbesked
Jeg læste den lige igennem en gang til, og jeg tror den er for teknisk for
en 'Joe Sixpack' bruger. Jeg tror det er bedre hvis du i generelle termer
(uden at gå ind på teknik) hvad ulempen er ved at bruge en sw-firewall der
kæfter op i tide og utide.
Og lader være med at nævne noget om mørk vs. lys chokolade - folk udefra vil
finde det ekstremt underligt at skrive sådan noget :). Men jeg er også
vingummi mand, så jeg kan ikke se hvad fornuften er i at spise chokolade,
når man nu kan spise vingummier i stedet for ;).
--
I doubt, therefore I might be.
| |
Kasper Dupont (18-05-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 18-05-04 16:11 |
|
Kim Noer wrote:
>
> Davsen der ..
>
> Forsøg på indtrængen "MSSQL_Null_Packet_DoS" i computeren blev konstateret
> og blokeret
>
> Indtrængende: 212.x.x.x (http(80))
>
> Risikoniveau: Lav
>
> Protokol: TCP
>
> Angrebet IP: (62.x.x.x).
>
> Angrebet port: ms-sql-s(1433)
>
> Jeg står for serveren 212.x.x.x, og der kører en webserver på denne.
Jeg er ikke helt sikker. Men en mulig forklaring er, at
brugeren har kontaktet din webserver. "Tilfældigvis" har
hans computer valgt at oprette forbindelsen fra port 1433.
Windows tildeler så vidt jeg ved portnumre fra 1024 og
opefter, så han skulle have haft godt 400 forbindelser
åbne (ikke nødvendigvis samtidig), så det er ikke helt
urealistisk. Når svaret så kommer fra din server til hans
computer ser den en pakke til port 1433 og bliver bange.
Så vidt jeg ved ér de sårbarheder, der har været i
Microsofts SQL server, blevet udnyttet gennem UDP pakker,
så det lyder lidt underligt at den skulle advare om en
TCP pakke.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.
| |
Kim Noer (18-05-2004)
| Kommentar Fra : Kim Noer |
Dato : 18-05-04 18:15 |
|
Kasper Dupont wrote:
> opefter, så han skulle have haft godt 400 forbindelser
> åbne (ikke nødvendigvis samtidig), så det er ikke helt
Det er faktisk meget meget realistisk. Jeg har starte, 'surfet' og så lukket
IE et par gange nu, og den er nu oppe på port 1378.
--
Speaker : "And here we are at the start of the second semifinale of the
100 yards for people without any sense of direction."
| |
Anders S... (18-05-2004)
| Kommentar Fra : Anders S... |
Dato : 18-05-04 18:25 |
|
"Kim Noer" <kn@nospam.dk> skrev i en meddelelse
news:2gu2bfF6r9tvU1@uni-berlin.de...
> Davsen der ..
>
> Forsøg på indtrængen "MSSQL_Null_Packet_DoS" i computeren blev konstateret
> og blokeret
>
> Indtrængende: 212.x.x.x (http(80))
>
> Risikoniveau: Lav
>
> Protokol: TCP
>
> Angrebet IP: (62.x.x.x).
>
> Angrebet port: ms-sql-s(1433)
>
>
SQL slammer
http://www.norman.com/Virus/Virus_descriptions/9843/en?show=spreading
MVH
Anders
| |
Kasper Dupont (18-05-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 18-05-04 18:56 |
|
"Anders S..." wrote:
>
> "Kim Noer" <kn@nospam.dk> skrev i en meddelelse
> news:2gu2bfF6r9tvU1@uni-berlin.de...
> >
> > Angrebet port: ms-sql-s(1433)
> >
> >
>
> SQL slammer
>
> http://www.norman.com/Virus/Virus_descriptions/9843/en?show=spreading
<quote>
The worm connects on port 1434 to random machines.
</quote>
Jeg fandt en side med lidt flere oplysninger:
http://www.cert.org/advisories/CA-2003-04.html
<quote>
from seemingly random IP addresses and destined for port 1434/udp.
</quote>
TCP port 1433 og UDP port 1434 er ikke den samme port.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
I'd rather be a hammer than a nail.
| |
Anders S... (18-05-2004)
| Kommentar Fra : Anders S... |
Dato : 18-05-04 22:46 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:40AA4E41.4AEC58F2@daimi.au.dk...
> "Anders S..." wrote:
> >
> > "Kim Noer" <kn@nospam.dk> skrev i en meddelelse
> > news:2gu2bfF6r9tvU1@uni-berlin.de...
> > >
> > > Angrebet port: ms-sql-s(1433)
> > >
> > >
> >
> >
> Jeg fandt en side med lidt flere oplysninger:
> http://www.cert.org/advisories/CA-2003-04.html
>
> <quote>
> from seemingly random IP addresses and destined for port 1434/udp.
> </quote>
>
> TCP port 1433 og UDP port 1434 er ikke den samme port.
Ja du har ret. sorry. ( men det var tæt på )
MVH
Anders
| |
|
|