Code Red

jb

Here to stay

Registered: May 2000
Location: /home/noe/
Posts: 3518

08.08.2001 - 11:40

Das läßt sich schnell machen, daß er member is...

Könnte die hohe Anzahl vielleicht dran liegen, daß er nen Chello-Anschluß mit Serverpaket hat???

BiG_WEaSeL

Elder
-

Registered: Jun 2000
Location: Wien
Posts: 8364

08.08.2001 - 13:10

ich glaub das liegt überhaupt am chello netz.

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6838

09.08.2001 - 08:46

looooool

Zitat
[root@zion /root]# ./codered
666

ein zeichen?

noledge

The Red Guy

Untitled

Registered: Jul 2001
Location: Transdanubia
Posts: 3121

09.08.2001 - 08:56

WICHTIG: CODE RED KANN DEN WEBSERVER ABSCHIESSEN

Die Dienste des WebServers in meiner Firma sind pausenlos abgekratzt und das mit Win2000. Obwohl dort sowas ja angeblich nicht passiert.

Mit dem Patch ist es kein Prob mehr.

Also ohne Patches würde ich mich keinen IIS ins Netz hängen trauen. War zwar schon früher so, aber jetzt ist es um so mehr wichtig.

Noch eine Frage: Wie zählt ihr die attacks ?

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6838

09.08.2001 - 09:05

unter win: keine ahnung, hab ka win am port 80 hängen

unter linux:

cat /var/log/httpd.access_log | grep default.ida -c

noledge

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Macrodata Refine..
Posts: 11815

09.08.2001 - 09:06

das mit den abgschossenen services hab ich bei unserem firmen-server auch bemerkt.

der is jetzt down bis der zuständige orga wieder ausn urlaub kommt

die Angriffe zähln is einfach, wemma die zugriffe auf den http-server mitloggt ... die mehrheit hier hat vermutlich linux/apache rennen ... das macht das ganze sehr einfach zu verfolgen

De@thbringer

Addicted

Registered: Jul 2001
Location: zuhause
Posts: 411

09.08.2001 - 09:07

tja leute bei LInux gibts des alles net. NUr die Microsoftserver sind ja davon befallen *g*

Sircam ist da schon viel leiwander!
Der macht wenigstens mal was!

The Red Guy

Untitled

Registered: Jul 2001
Location: Transdanubia
Posts: 3121

09.08.2001 - 10:01

Zitat von Redphex
das mit den abgschossenen services hab ich bei unserem firmen-server auch bemerkt.

der is jetzt down bis der zuständige orga wieder ausn urlaub kommt

die Angriffe zähln is einfach, wemma die zugriffe auf den http-server mitloggt ... die mehrheit hier hat vermutlich linux/apache rennen ... das macht das ganze sehr einfach zu verfolgen

Moment, wie unterscheidest du normale Zugriffe am Webserver und attacks ? Ist imho bei sehr frequentierten Servern schwierig.

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6838

09.08.2001 - 10:25

unter linux is einfach, der code red versucht die "default.ida" des IIS aufzurufen. wenn du durch das logfile grepst nach default.ida und die ergebnisse zählen lässt -> tada! anzahl der angriffe.

obs so was wie den grep unter windows gibt was i ned, wär aber hin und wieder praktisch.

noledge

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Macrodata Refine..
Posts: 11815

09.08.2001 - 10:34

Zitat von The Red Guy
Moment, wie unterscheidest du normale Zugriffe am Webserver und attacks ? Ist imho bei sehr frequentierten Servern schwierig.

bei mir is überhaupt einfach, da mein http normalerweise almost zero zugriffe hat, stechen die code-red zugriffe halt etwas heraus

alex5612

Vereinsmitglied
Radiomann

Registered: Oct 2000
Location: VR Brigittenau
Posts: 4848

09.08.2001 - 10:36

hab bei mir den httpd installiert....wie kann man bei dem die angriffe zählen ?

The Red Guy

Untitled

Registered: Jul 2001
Location: Transdanubia
Posts: 3121

09.08.2001 - 10:38

Ja suchen kann man bei den Log-Files vom IIS auch. Sieht das so aus ? :

2001-08-08 10:25:14 212.17.87.70 - W3SVC1 DEFIANT 100.0.0.1 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 HTTP/1.0 - -

Ist aussergewöhnlich lang im gegensatz zum rest.

alex5612

Vereinsmitglied
Radiomann

Registered: Oct 2000
Location: VR Brigittenau
Posts: 4848

09.08.2001 - 10:43

sowaas ähnliches hab ich auch....also 2 angriffe in 4 minuten

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6838

09.08.2001 - 10:43

jaaaa, genau das *g*

noledge

The Red Guy

Untitled

Registered: Jul 2001
Location: Transdanubia
Posts: 3121

09.08.2001 - 10:55

Also ich bin im Chello Netz und da kommen sehr viele Attacken, für das das Privatkunden keinen Webserver haben dürfen.

Leider gibts kaum eine Möglichkeit herauszufinden, wem die IP gehört, und dieses Opfer zu verständigen. Ausser ich melde es Chello aber das wäre fies... Gut die sind wahrscheinlich sowieso zu dumm, um nachzuvollziehen, wer da wer ist.

jb Here to stay Registered: May 2000 Location: /home/noe/ Posts: 3518	08.08.2001 - 11:40 Das läßt sich schnell machen, daß er member is... Könnte die hohe Anzahl vielleicht dran liegen, daß er nen Chello-Anschluß mit Serverpaket hat???
BiG_WEaSeL Elder - Registered: Jun 2000 Location: Wien Posts: 8364	08.08.2001 - 13:10 ich glaub das liegt überhaupt am chello netz.
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6838	09.08.2001 - 08:46 looooool Zitat [root@zion /root]# ./codered 666 ein zeichen? noledge
The Red Guy Untitled Registered: Jul 2001 Location: Transdanubia Posts: 3121	09.08.2001 - 08:56 WICHTIG: CODE RED KANN DEN WEBSERVER ABSCHIESSEN Die Dienste des WebServers in meiner Firma sind pausenlos abgekratzt und das mit Win2000. Obwohl dort sowas ja angeblich nicht passiert. Mit dem Patch ist es kein Prob mehr. Also ohne Patches würde ich mich keinen IIS ins Netz hängen trauen. War zwar schon früher so, aber jetzt ist es um so mehr wichtig. Noch eine Frage: Wie zählt ihr die attacks ?
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6838	09.08.2001 - 09:05 unter win: keine ahnung, hab ka win am port 80 hängen unter linux: cat /var/log/httpd.access_log \| grep default.ida -c noledge
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Macrodata Refine.. Posts: 11815	09.08.2001 - 09:06 das mit den abgschossenen services hab ich bei unserem firmen-server auch bemerkt. der is jetzt down bis der zuständige orga wieder ausn urlaub kommt die Angriffe zähln is einfach, wemma die zugriffe auf den http-server mitloggt ... die mehrheit hier hat vermutlich linux/apache rennen ... das macht das ganze sehr einfach zu verfolgen
De@thbringer Addicted Registered: Jul 2001 Location: zuhause Posts: 411	09.08.2001 - 09:07 tja leute bei LInux gibts des alles net. NUr die Microsoftserver sind ja davon befallen g Sircam ist da schon viel leiwander! Der macht wenigstens mal was!
The Red Guy Untitled Registered: Jul 2001 Location: Transdanubia Posts: 3121	09.08.2001 - 10:01 Zitat von Redphex das mit den abgschossenen services hab ich bei unserem firmen-server auch bemerkt. der is jetzt down bis der zuständige orga wieder ausn urlaub kommt die Angriffe zähln is einfach, wemma die zugriffe auf den http-server mitloggt ... die mehrheit hier hat vermutlich linux/apache rennen ... das macht das ganze sehr einfach zu verfolgen Moment, wie unterscheidest du normale Zugriffe am Webserver und attacks ? Ist imho bei sehr frequentierten Servern schwierig.
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6838	09.08.2001 - 10:25 unter linux is einfach, der code red versucht die "default.ida" des IIS aufzurufen. wenn du durch das logfile grepst nach default.ida und die ergebnisse zählen lässt -> tada! anzahl der angriffe. obs so was wie den grep unter windows gibt was i ned, wär aber hin und wieder praktisch. noledge
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Macrodata Refine.. Posts: 11815	09.08.2001 - 10:34 Zitat von The Red Guy Moment, wie unterscheidest du normale Zugriffe am Webserver und attacks ? Ist imho bei sehr frequentierten Servern schwierig. bei mir is überhaupt einfach, da mein http normalerweise almost zero zugriffe hat, stechen die code-red zugriffe halt etwas heraus
alex5612 Vereinsmitglied Radiomann Registered: Oct 2000 Location: VR Brigittenau Posts: 4848	09.08.2001 - 10:36 hab bei mir den httpd installiert....wie kann man bei dem die angriffe zählen ?
The Red Guy Untitled Registered: Jul 2001 Location: Transdanubia Posts: 3121	09.08.2001 - 10:38 Ja suchen kann man bei den Log-Files vom IIS auch. Sieht das so aus ? : 2001-08-08 10:25:14 212.17.87.70 - W3SVC1 DEFIANT 100.0.0.1 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 HTTP/1.0 - - Ist aussergewöhnlich lang im gegensatz zum rest.
alex5612 Vereinsmitglied Radiomann Registered: Oct 2000 Location: VR Brigittenau Posts: 4848	09.08.2001 - 10:43 sowaas ähnliches hab ich auch....also 2 angriffe in 4 minuten
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6838	09.08.2001 - 10:43 jaaaa, genau das g noledge
The Red Guy Untitled Registered: Jul 2001 Location: Transdanubia Posts: 3121	09.08.2001 - 10:55 Also ich bin im Chello Netz und da kommen sehr viele Attacken, für das das Privatkunden keinen Webserver haben dürfen. Leider gibts kaum eine Möglichkeit herauszufinden, wem die IP gehört, und dieses Opfer zu verständigen. Ausser ich melde es Chello aber das wäre fies... Gut die sind wahrscheinlich sowieso zu dumm, um nachzuvollziehen, wer da wer ist.

Code Red

Forum Index > Software > Applications, Apps & Drivers

jb

BiG_WEaSeL

noledge

The Red Guy

noledge

Redphex

De@thbringer

The Red Guy

noledge

Redphex

alex5612

The Red Guy

alex5612

noledge

The Red Guy