GoT hangt na bekijken bepaald topic. - Stoute bugs

zaterdag 2 september 2006 17:33

Acties:

Topicstarter

Ok hopelijk goede titel! En goede plaats.

c# Datum van bestand ophalen

Het gaat om dit topic. Als ik deze open dan detecteerd Norton Antivirus 2005 het volgende.

Intrusion: HTTP MSIE Content Type BO.
Intruder: gathering.tweakers.net(213.239.154.36)(http(80)).
Risk Level: High.
Protocol: TCP.
Attacked IP: mezelf
Attacked Port 1444

een andere keer op poort 1469 of 1564 Er lijkt geen touw aan vast te knopen te zijn (lekkere zin

)

Onder AutoBlock ip's van NAV2005 komt het intruder adres te staan waardoor ik helemaal niet op GoT kom! Deze ff verwijderen en dan kan je nog 'n keer proberen. Telkens blokkeerd hij 'm weer. Dus ik kom niet meer aan deze post, alhoewel ik verdorie geïnteresseerd was.

Ik zie de pagina soms gedeeltelijk verschijnen, soms alleen bovenste stuk voordat hij op blank gaat.
De vraag is waar ligt het aan.

Specs:
IE7 RC1
WinXP Home SP2 alle patches tot dusver.
NAV2005 volledige updates.

ps: in FF: Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6 lijkt het erop dat ik het probleem niet heb. IE6 weet ik niet want dat heb ik nu even niet.

To say of what is that it is not, or of what is not that it is, is false, while to say of what is that it is, and of what is not that it is not, is true. | Aristoteles

zaterdag 2 september 2006 17:36

Acties:

Osiris

quote: http://www.symantec.com/avcenter/attack_sigs/s21698.html
This issue is triggered when an attacker convinces a victim user to visit a malicious website. Specifically, the vulnerability presents itself when the browser processes excessively large 'Content-Type' HTTP response headers consisting of more than approximately 1M bytes. An attacker can trigger a stack-overflow exception.

Lijkt me sterk dat GoT zoiets doet?

Dat het "attacked port" steeds veranderd klopt. Je OS maakt namelijk vanuit semi-willekeurige poorten verbinding met poort 80 van GoT.

't Is dus niet zo dat iemand op die poorten jou binnen probeert te dringen ofzo.

[ Voor 20% gewijzigd door Osiris op 02-09-2006 17:37 ]

zaterdag 2 september 2006 17:58

Acties:

Spiral

Topicstarter

Nee, dat met die poorten dat snap ik wel. Wat ik nu niet snap is waardoor dit komt! Als iemand daar een antwoord op weet te vinden

To say of what is that it is not, or of what is not that it is, is false, while to say of what is that it is, and of what is not that it is not, is true. | Aristoteles

zaterdag 2 september 2006 18:02

Acties:

Sybr_E-N

In het betreffende topic wordt wel een stukje HTTP response gepost, misschien gaat je virusscanner daarvan over z'n nek. En aangezien het Norton is wat je gebruikt, is die kans erg groot aangwezig.

zaterdag 2 september 2006 18:02

Acties:

crisp

Devver

Pixelated

Er worden in dat topic wel wat voorbeelden van HTTP headers getoond, maar als Norton daar een false positive op geeft dan is dat wel weer erg brak.

Intentionally left blank

zaterdag 2 september 2006 18:03

Acties:

moto-moi

Ja, ik haat jou ook :w

Je gebruikt al firefox, wordt het dan niet eens tijd om de troep die ze onder Peter Norton z'n naam proberen te verkopen aan consumenten ook keihard te dumpen?

Mijn gok is trouwens dat het komt door de webicoon van Twilight Burn , maar die zal ik hier niet linken want dan zal deze pagina ook wel onbereikbaar worden

God, root, what is difference? | Talga Vassternich | IBM zuigt

zaterdag 2 september 2006 18:03

Acties:

Klippy

Still Game

Lijkt me een bug van IE7 (icm NAV2005), ik heb zelf nergens last van, maar heb beiden ook niet.

Denk dat je browser deze reply: c# Datum van bestand ophalen
Ziet als een extra HTTP header (wat volgens niet mag voorkomen ook) en dat NAV dat verdacht vind, wat het ook is als je browser de code verkeerd interpreteert.

Kan je testen door die code eens in een eigen HTML pagina te zetten, of in een ander topic en kijken wat er dan loos is.

edit:
Hmm kan ook dat icon zijn ja, want die geeft wel een grote header terug zoals in de omschrijving staat, maar dat zou ook brak zijn, maar minder dan die HTTP headers

[ Voor 16% gewijzigd door Klippy op 02-09-2006 18:05 ]

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO

zaterdag 2 september 2006 18:04

Acties:

Rhannie

[DPC] Team Black Bulls

- Let op: Deze server voert scans uit om te zien of u vanaf een
- open proxy connect. Als dit het geval blijkt te zijn wordt uw
- verbinding verbroken.
-
- Als uw firewall een waarschuwing geeft over portscans vanaf
- 213.239.154.17 / achelois.tweakers.net dan kunt u deze gerust
- negeren, dat is namelijk de server die bovenstaande scans
- uitvoert.

bron: /motd arethusa.tweakers.net

Komt het hier niet door?

zaterdag 2 september 2006 18:06

Acties:

moto-moi

Ja, ik haat jou ook :w

Paddixx schreef op zaterdag 02 september 2006 @ 18:04:
Komt het hier niet door?

code:

1	Intruder: gathering.tweakers.net(213.239.154.36)(http(80))

Somehow I doubt your theory

God, root, what is difference? | Talga Vassternich | IBM zuigt

zaterdag 2 september 2006 18:07

Acties:

Verwijderd

Echt totaal overbodig die virusscanner. Ik internet al 5 jaar zonder en heb zegge en schrijve 1x een virus gehad. Even Hitman Pro (het virusgedeelte) eroverheen en het was weer weg.

Bespaart je toch honderden euro's (in 5 jaar).

zaterdag 2 september 2006 18:13

Acties:

Spiral

Topicstarter

Is er misschien een mogelijkheid om 'n soort test topic te starten hiervoor met eventueel zo'n HTTP header? Maar is het niet vreemd dat FireFox er niet gevoelig voor is?

To say of what is that it is not, or of what is not that it is, is false, while to say of what is that it is, and of what is not that it is not, is true. | Aristoteles

zaterdag 2 september 2006 18:16

Acties:

Osiris

moto-moi schreef op zaterdag 02 september 2006 @ 18:06:
[...]
code:
1
Intruder: gathering.tweakers.net(213.239.154.36)(http(80))
Somehow I doubt your theory

En ik daarom meteen jouw theorie over dat icon ook, aangezien het een webicon betreft (met overigens vrij onschuldige headers)

Date: Sat, 02 Sep 2006 16:15:44 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: image/png
Content-Length: 8413

200 OK

Spiral schreef op zaterdag 02 september 2006 @ 18:13:
Is er misschien een mogelijkheid om 'n soort test topic te starten hiervoor met eventueel zo'n HTTP header? Maar is het niet vreemd dat FireFox er niet gevoelig voor is?

Ik denk dat NAV alleen de bitjes die IE gebruikt checkt ofzo. En nee, zo gek vind ik het niet dat Firefox niet gevoelig voor zo'n potentiele DoS is

Verwijderd schreef op zaterdag 02 september 2006 @ 18:07:
Echt totaal overbodig die virusscanner. Ik internet al 5 jaar zonder en heb zegge en schrijve 1x een virus gehad. Even Hitman Pro (het virusgedeelte) eroverheen en het was weer weg.

Bespaart je toch honderden euro's (in 5 jaar).

offtopic:

Had iedere PC die aan internet hangt maar een fatsoenlijke virusscanner, dat bespaart ons een hele boel open-relay-achtige trojans om via te spammen, zombie-netwerken om servers te DDoS-sen, etc etc...

[ Voor 48% gewijzigd door Osiris op 02-09-2006 18:19 ]

zaterdag 2 september 2006 18:18

Acties:

Rone

Moderator Tweaking

Spiral schreef op zaterdag 02 september 2006 @ 18:13:
Maar is het niet vreemd dat FireFox er niet gevoelig voor is?

Inderdaad

[ Voor 6% gewijzigd door Rone op 02-09-2006 18:18 ]

PC1: 9800X3D + RX 9070 XT || PC2: 5800X3D + RTX 3080 || Laptop: 7735HS + RTX 4060

zaterdag 2 september 2006 18:18

Acties:

ACM

Software Architect

Werkt hier

Spiral schreef op zaterdag 02 september 2006 @ 18:13:
Is er misschien een mogelijkheid om 'n soort test topic te starten hiervoor met eventueel zo'n HTTP header? Maar is het niet vreemd dat FireFox er niet gevoelig voor is?

Jahoor, dat kan prima in Schop een Modje, kan je in zetten wat je wil (met firefox uiteraard), zonder dat andere gebruikers er last van hebben.

[ Voor 13% gewijzigd door ACM op 02-09-2006 18:18 ]

zaterdag 2 september 2006 18:18

Acties:

Klippy

Still Game

Spiral schreef op zaterdag 02 september 2006 @ 18:13:
Is er misschien een mogelijkheid om 'n soort test topic te starten hiervoor met eventueel zo'n HTTP header? Maar is het niet vreemd dat FireFox er niet gevoelig voor is?

Dit is een test dan lijkt me

edit:
Test geslaagd

[ Voor 46% gewijzigd door Klippy op 02-09-2006 18:26 ]

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO

zaterdag 2 september 2006 18:24

Acties:

Spiral

Topicstarter

HAHAHA!

Ik dacht al nee hé wie zit er te posten!
Ik kan d'r inderdaad niet meer op komen. even dat Internet Worm Protection uitgezet. En nu kan ik weer wat posten!

Maar goed ja, test geslaagd zou ik zeggen. Nu nog oplossingen

Ik heb al even gekeken naar exceptions in NAV maar kon niks vinden.

ow en ik zei dat FF het gewoon deed, maar bij deze hing ie ook.

To say of what is that it is not, or of what is not that it is, is false, while to say of what is that it is, and of what is not that it is not, is true. | Aristoteles

zaterdag 2 september 2006 18:28

Acties:

Klippy

Still Game

Bleh als FF dat ook doet.. valt me tegen van NAV.
Maargoed dat verwijder ik ook overal van elke PC, geeft alleen problemen, ik installeer altijd andere protectie dus ik weet geen oplossing voor je, ben alleen goed in NAV verwijderen, niet in NAV configureren

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO

zaterdag 2 september 2006 18:30

Acties:

Spiral

Topicstarter

Klippy schreef op zaterdag 02 september 2006 @ 18:28:
Bleh als FF dat ook doet.. valt me tegen van NAV.
Maargoed dat verwijder ik ook overal van elke PC, geeft alleen problemen, ik installeer altijd andere protectie dus ik weet geen oplossing voor je, ben alleen goed in NAV verwijderen, niet in NAV configureren

SYMNRT.exe ideaal programma van symantec om "bijna alles" van hun te verwijderen.

Het komt dus doordat je die htmlcode in codeblocks plaatst neem ik aan?

To say of what is that it is not, or of what is not that it is, is false, while to say of what is that it is, and of what is not that it is not, is true. | Aristoteles

zaterdag 2 september 2006 18:34

Acties:

Klippy

Still Game

Spiral schreef op zaterdag 02 september 2006 @ 18:30:
[...]

SYMNRT.exe ideaal programma van symantec om "bijna alles" van hun te verwijderen.

Het komt dus doordat je die htmlcode in codeblocks plaatst neem ik aan?

Was gewoon dezelfde code als uit dat andere topic, dus daar komt het door.
Blijft de vraag of het bij andere HTTP headers ook gebeurt, of het door de code tags komt etc.

Maar dat ga ik niet allemaal testen. Misschien dat crisp of iemand dat belangrijk genoeg vind om verder te testen, dat moet je ff afwachten denk ik

Lijkt mij gewoon een probleem van NAV waar GoT verder ook weinig mee kan, dus denk het niet.

[ Voor 7% gewijzigd door Klippy op 02-09-2006 18:34 ]

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO

zaterdag 2 september 2006 18:44

Acties:

Spiral

Topicstarter

[b]
[...]
Lijkt mij gewoon een probleem van NAV waar GoT verder ook weinig mee kan, dus denk het niet.

Ja, goed ik weet nu waaraan het ligt, krijg ik weer zo'n topic o.i.d. moet ik gewoon even tijdelijk Internet Worm Protection uitschakelen.

Goed mijn ervaring op het gebied van webapplicaties is niets meer dan basic HTML en miniem stukje PHP. Maar er lijkt me toch wel een oplossing voor te vinden zijn. Aan de andere kant moet ik ook de vraag stellen als het inderdaad zin heeft om d'r tijd in te steken als er maar een kleine groep last van blijkt te hebben.

Bedankt voor de snelle en vele reacties.

To say of what is that it is not, or of what is not that it is, is false, while to say of what is that it is, and of what is not that it is not, is true. | Aristoteles

zaterdag 2 september 2006 18:45

Acties:

ACM

Software Architect

Werkt hier

Spiral schreef op zaterdag 02 september 2006 @ 18:24:
Maar goed ja, test geslaagd zou ik zeggen. Nu nog oplossingen Ik heb al even gekeken naar exceptions in NAV maar kon niks vinden.

Dat wordt nog lastig. Ik zal je iig alvast een ding vertellen:
Het plaatsen van "headers" als onderdeel van de "datasectie" van een HTTP-response is volledig legaal. Sterker nog, het is gewoon inhoud van de response, niks anders.

Een HTTP-resonse bestaat namelijk uit eerst een stel headers, dan een lege regel en dan een willekeurige inhoud. En in die inhoud mag je dus sturen wat je wilt, dus ook teksten die in de header nog een bijzondere betekenis gehad zouden hebben.

Erg slordig van NAV dat ze zo triggerhappy op dergelijke zaken zijn.

maandag 4 september 2006 20:23

Acties:

Reinier

\o/

offtopic:
Volgens mij zag ik zojuist de breedste reply ooit

dinsdag 19 september 2006 16:05

Acties:

crisp

Devver

Pixelated

iig geen bug van ons dus, en ook niet iets waar wij iets tegen kunnen doen...

Intentionally left blank