sslug-teknik team mailing list archive

Thread
Date

Re: Apache log

To: sslug-teknik@xxxxxxxx
From: Asbjoern Grandt <asbjorn@xxxxxxxxxx>
Date: Mon, 1 Apr 2002 14:30:17 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <20020401115000.GB6165@bit.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

-----BEGIN PGP SIGNED MESSAGE-----

On Monday 01 April 2002 13:50, Emil S. Hansen wrote:
> On Mon, Apr 01, 2002 at 01:38:34PM +0200, David List wrote:
> > > Slå evt. hans ISP op i ripe og meld ham.
> >
> > Det havde jeg også tænkt mig, men når jeg prøver at finde noget
> > på IP-adressen gennem RIPE's looking
> > glass:
> > http://www.ripe.net/cgi-bin/looking-glass
> > ender det i "ingenting".
> > Er der andre måder at finde ham på?
>
> 'whois 61.167.126.237' burde gøre det for dig. Prøv selv og glem så
> alt om at melde ham :).

Problemet er vel at de fleste af disse script kiddies vel stadig 
bruger dial-in forbindelser. Og andre hackere bruger dem nok også for 
at gøre det sværere at finde dem.

Jeg har et hav af disse 'angreb' i min log, og de fleste af 
adresserne svarer ikke engang på ping.

En af dem der undrer mig er denne her :

209.208.57.134 - - [18/Mar/2002:17:52:12 +0100] "GET 
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 
 HTTP/1.0" 400 332

Dem var der ret mange af for et par uger siden, men ikke een siden 
den 20. marts. Det er klart at det er en buffer overflow der er 
forsøgt udnyttet.

Jeg har desværre endnu ikke den store erfaring med at spore disse 
angreb. Er der en how-to på dette område ?

mvh
A.Grandt
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQEVAwUBPKhS3qmMPnKLSzd9AQHk4Af+KjSnKDPS5tU20SOrtlBBYotTt6QYyzzm
i3rKJucJD305yKAtBezFgQEYqE2PGEfbkg77/xuGS7ZmaAePd0jSkJ0v5iLQclj5
uJt82j9juCY454wxGXmGAvNeuN3ePkaGBuNPeJimxKXDgMXS2925S2y2r1mQL8FX
/sicrfxPxgXlGlXnFUt2JxTplp0ojWazcVaeFyNYBNXdZFqM88M8i4O0X5LEG/7d
aqUnLU1qwHmeo4eALf3D9+zAMnSA0VjTvsdFeV9K5pz8Yq37+KsovU6SLttFo4NO
33/+BS6vi/WTrzihKe0aXYagNIAIKFrSGMDU4V8Vb0/u1u5bBXOZNw==
=4Xwl
-----END PGP SIGNATURE-----

Follow ups

æøå i samba
From: Knud Josefsen, 2002-04-27
Re: Apache log
From: Kim Schulz, 2002-04-01

References

Re: Apache log
From: Kim Schulz, 2002-03-31
Re: Apache log
From: David List, 2002-04-01
Re: Apache log
From: Emil S. Hansen, 2002-04-01