START MESSAGE: 17. marec 2000 7:10 - [linux] <OT> pokusy o hack, ISP mlci.. -linux@rak.isternet.sk <linux@rak.isternet.sk>
Sorry za tento OT, ale uz si neviem rady:
Za posledne 2 tyzdne som tu mal asi 15 pokusov o hacknutie
mojho servera z tej istej (!!!) IP adresy isteho (zatial)
nemenovaneho ISP z juznej Azie (ktory na svojej www-stranke
tvrdi, ze je No.1 ISP in Asia-Pacific region). Poslal som
im uz 4 maily na adresu, uvedenu na ich www-stranke, ale
jedina odpoved (ak sa to za nu da povazovat) je to, ze tie
pokusy o hack prichadzaju castejsie a su drzejsie (ako keby
som sa zdvorilo stazoval rovno tomu "wanna-be" hackerovi!).
Neviem, ci je to dial-up, lebo hoci nameresolving nefunguje
(mam iba IP, typicke pre dial-up), traceroute ho vzdy najde
(to zas pre dial-up asi nie je typicke, byt stale "up").
Inak, priebeh byva klasicky: Najprv niekolkonasobne oscanovanie
portov, potom pokus o pripojenie na niektore sluzby (pop3, ftp,
imap, telnet, ssh, portmap, rlogin), dalej skusi spam relying,
no a napokon sa pusti do apacha (hlada niektore zname cgi-skripty),
a ked uz nevie, co robit, skusi DoS na niektore sluzby (co sa mu
dost dari, kedze mam pomerne pomalu pevnu linku).
Co mam robit? Provider a majitel siete na to zjavne kasle!
Je na internete nejaka nadradena autorita, kam by som sa nanho
mohol stazovat? Alebo si naozaj na internete kazdy moze robit,
co sa mu zachce? A ci sa mam drzat zasady "oko za oko"?
Jarry
jo ked sme uz pritom
ze .. scanuje porty a prehladava zname cgi ...
co si rovno nepovedal ze je to:
211.53.208.209
a ze ma prg ktory prelieza vsetko .. a je pekne sledovat aky ma vykonny server
;-))
schavlne skuste si dat kto ma cas a chut zabavit sa
zgrep 211.53.208.209 /var/log/apache/* ze kedy bol na vasich IP ;-))
(jo ale asi by sme to nemali rvat do konfery ...)
z toho ca ja viem dat o tom ze aky ma rychlu masinu: na rozne IP:
(a od IP kmaratov ... asi velmi vidno ze sa dnes v praci nudim ...)
194.1.141.1:
211.53.208.209 - - [15/Mar/2000:02:08:33 +0100] "GET /cgi-bin/phf HTTP/1.0" 302
219 "-" "-" 0 www.pbko.sk
atd ... (ale tymto zacne ..., ma taky script)
211.53.208.209 - - [15/Mar/2000:19:55:17 +0100] "GET /cgi-bin/phf HTTP/1.0" 302
219 "-" "-" 1 www.pbko.sk
atd ...
teda nejaky cyklus mu trva 17 hodin.
194.1.130.48
211.53.208.209 - - [16/Mar/2000:23:03:24 +0100] "GET /cgi-bin/phf HTT P/1.0" 302
219
takze od 194.1.141.1 po 194.1.130.48 mu to trva nieco cez 1 den?
193.58.195.98:
211.53.208.209 - - [15/Mar/2000:07:05:30 +0100] "GET /cgi-bin/phf HTTP/1.0" 302
219
takze asi nie ... asi to neberie len tak zaradom ...
a na inych IP
212.81.*.* som ho nevidel (zeby este nedobehol)
obdobne aj na 147.232.*.*
(teda niektore ip kde mi mohli kamarati len tak pozret)
alebo sa mu paci len 193.* a 194.* ? mozno.
a btw ident povedal ze proces je to rootov
no a k dovrseniu : takychto scanerov je hoodne a nielen z tejto IP ...
predtym:
6.3. 1cust97.tnt1.yakima.wa.da.uu.net
14.2 ai.iserver.sk .. ale ten mal iny program ;-)
15.2 212.177.241.218
6.2 a-ca12-22.tin.it
28.1 151.21.226.9
28.1 212.177.241.36
12.1 212.177.241.23
15.1 a-va6-37.tin.it
a to som pozeral len rok 2000 bo viac sa mi nechcelo ...
a btw vsetci az na slovaka mali rovanky program ;-).
ale kedze niesme security konfera asi staci ...
ja len proste dnes nemam co v praci robit a sa nudim ;-).
(teda bolo by co ale sa mi nechce)
On Fri, Mar 17, 2000 at 10:35:50AM +0100, Jarry guru wrote:
> nebude nic vracat (jednoducho sa logne niekam inam, je spusta serverov
> kde moze ziskat shell). Podla mna by ho to mohlo len este viac
> nastvat. Pozname takych pubertakov, ktori by to skor brali ako vyzvu...
no ... mozno nie . ;-)
> Inak ipchains mam pomerne dobre vyladene, zvonku povolujem
> otvarat spojenia (ipchains -y) len na www, dns a smtp. Ostatne DENY.
> CGI skripty som preventivne premiestnil (hladal ich v obvyklom adresari).
> Zatial sa v podstate nic hrozne nestalo, ale tie poplachy mi idu uz
> na nervy! Onehda som dostal cez noc 23 sms-siek |-(
no ist cestou polepsienia som apson ja vzdal ...
ale ked uz to mas ze ala sms-ka ...
co tak to trochu prerobit ze az sa ma vygenerovat sms-ka
spravi sa radsej ipfwadm abo ipchains novy rules ktory ho zakaze
(a povedzme o 8 hodin zas povoli) ...
minimalne bude z toho vysahany ze co to mas ... ;-)
a povedal by som ze neni az taky dobry za akeho ho mas ... lebo uziva
standardny balik a mozno vie len stiahnut a spustit ale na akekolvek
zmeny je blby lebo systemu nerozumie .. inac by mal balik upraveny
a bol programer a nie len user hack balika ... preto si myslim ze
mas sancu sa ho zbavit ;-).
Miro Bobovsky wrote:
> jo ked sme uz pritom ze scanuje porty a prehladava zname cgi ...
> co si rovno nepovedal ze je to: 211.53.208.209
> a ze ma prg ktory prelieza vsetko a je pekne sledovat aky ma vykonny
> server
No asi som bol zbytocne ohladuplny, najma voci jeho ISP, ktorym je
bora.net
(ked sme uz pri tom).
> schavlne skuste si dat kto ma cas a chut zabavit sa
> zgrep 211.53.208.209 /var/log/apache/* ze kedy bol na vasich IP ;-))
> (jo ale asi by sme to nemali rvat do konfery ...)
No, myslim ze je to viac k veci a menej OT, nez mnoho inych
mailov. A ak je to security vo vztahu k linuxu, tak to mozno
ani OT nebude. A ak to alertuje zopar dalsich spravcov, mozno
to bude aj osozne...
> teda nejaky cyklus mu trva 17 hodin.
Ale je sproste, ze to robi donemoty dookola. Ved nikto z nas
nie je svaty, a mnohi si uz skusili "osahnut" nejaku tu masinku,
ale toto uz ide na nervy! Hocijaky kreten si moze stiahnut
potrebny SW a nechat ho bezat dookola, kym sa mu nejaky server
"nepodda"! Toto vyzera na sprosteho lamera (pardon za vyraz)...
A ako hovorim, jeho provider by mal zakrocit! Inak sa veru na
ten "bora.net" pozriem a skusim ich trosku "prebrat"!!!
> no a k dovrseniu : takychto scanerov je hoodne a nielen z tejto IP ...
To je pravda, ale nikto ma az takto nedopaluje a nikto nema takehoto
benevolentneho ISP (este naivne dufam, ze je to ich klient a nie
rovno niekto z bora.net).
Jarry
SAGA POKRACUJE - MAME PRVE INFO O TOM ZMRDOVI
Attachol som nejake veci co som nazbieral...
Sendmail:
220 lnx1.messagebay.co.kr ESMTP Sendmail 8.9.3/8.9.3; Fri, 17 Mar 2000 22:38:00 +0900
Ftpd:
220 ProFTPD 1.2.0pre3 Server (ProFTPD ALZZA Default Installation) [lnx1.messagebay.co.kr]
pop3d:
+OK POP3 lnx1.messagebay.co.kr v7.59 server ready
httpd:
HTTP/1.1 400 Bad Request
Date: Fri, 17 Mar 2000 13:42:54 GMT
Server: Apache/1.3.6 (Unix) (ALZZA/Linux)
Connection: close
Content-Type: text/html
Meno lnx1.messagebay.co.kr referuje na 211.51.17.159, na ktore som dostal:
No route to host
Aky je plan?
Jano
> Co podnikneme? :)
no mozte sa vyzbierat na letenku pre jedneho do tej Azie nech si to s
nim vybavy ked to nejde elektronickou formou :))
SEJMEME HO??? - začina zaváňať dobrodružstvom
> > Co podnikneme? :)
>
> no mozte sa vyzbierat na letenku pre jedneho do tej Azie nech si to s
> nim vybavy ked to nejde elektronickou formou :))
>
Ja som si to pc 'osahal' a bezi mu tam linux s kopou nebezpecnych sluzieb
, takze navrhujem back atack ci uz vo forme stupit DoS (ma tam finger
;-) alebo aj inteligent hacking.
Sam
Som za.
Nechapem vsak celkom jeho ip a hostname... mali by sme si najprv trosku
overit nie toho, kto to robi, ale co to je za pocitac... aby sme predisli
moznym problemom.
Jano
> Myslim, ze sa nas najde este dost :)
Vobec som netusil, ze tolkym ludom otravuje zivot. Nazdaval
som sa, ze som jediny nestastnik na ktoreho sa (ktovie preco?)
zameral...
> Co podnikneme? :)
> Ja som si to pc 'osahal' a bezi mu tam linux s kopou nebezpecnych
sluzieb
> takze navrhujem back atack ci uz vo forme stupit DoS (ma tam finger
> ;-) alebo aj inteligent hacking.
Osobne som proti takymto veciam, ale ak sa ten "wanna-be-hacker"
nevie spratat do koze, asi by sme mu mohli nieco "naznacit".
Tiez sa toho rad zucastnim :-)
Dado Jan wrote:
>
> > Ja som si to pc 'osahal' a bezi mu tam linux s kopou nebezpecnych sluzieb
> > , takze navrhujem back atack ci uz vo forme stupit DoS (ma tam
finger
> > ;-) alebo aj inteligent hacking.
Kde beriete tu istotu, ze za tou IP je ON(A)? S najvacsou
pravdepodobnostou to je z inokadial. Nie je predsa az taky sprosty?
Alebo hej?
> Som za.
> Nechapem vsak celkom jeho ip a hostname... mali by sme si najprv trosku
> overit nie toho, kto to robi, ale co to je za pocitac... aby sme predisli
> moznym problemom.
Presne o tom hovorim.
Jaro
Ja by som si dal pozor, co ak na tom nie je az tak zle? ...neviem
toho
sice vela o unixe, ucim sa , ale ak mozem nejako pomoct, som za ; lebo som
si isty, ze aj ja mozem raz potrebovat takuto pomoc.
peter
> Kde beriete tu istotu, ze za tou IP je ON(A)? S najvacsou
> pravdepodobnostou to je z inokadial. Nie je predsa az taky sprosty?
> Alebo hej?
>
Keby nebol sprosty tak by nepouzival program na scanovanie dier. Krom toho
ja som ho nasiel 5 minut potom co ma scanoval, a islo to k nemu.
Pochybujem ze by ten program posielal ip s navratovou cestou, okrem
toho moj kernel by ho odfajcil keby to spravil.
Som za.
> > Nechapem vsak celkom jeho ip a hostname... mali by sme si najprv trosku
> > overit nie toho, kto to robi, ale co to je za pocitac... aby sme predisli
> > moznym problemom.
>
> Presne o tom hovorim.
>
> Jaro
PADOL ???