[worm/virus] shell code iets 80/443 - Privacy en beveiliging

zondag 11 juli 2004 02:33

Acties:

Op naar de 500

Topicstarter

op dit moment wordt het netwerk waar ik eventje toezicht over heb overspoeld met lieve machines die allemaal poortje 80 en 443 voorzien van een liev stukje shell code. omdat het best wel veel verkeer is, vroeg ik mij af of er wat van bekend was.

ik heb met m'n cisco/linux netflow grafiekjes nu een paar duizend hosts en ben ze aan het afscannen met nmap er zit niet echt een patroon in behalve die 80/443 open een de standaard microsoft poortjes.

is dit de zoveelste IIS exploit of is er iets leukers aan de hand?

Steun Elkaar, Kopieer Nederlands Waar!

zondag 11 juli 2004 09:28

Acties:

elevator

Officieel moto fan :)

Dit hoort beter thuis in Beveiliging & Virussen

Windows Operating Systems >> Beveiliging & Virussen

maandag 12 juli 2004 12:13

Acties:

SSH

. . . . . . . .

Kan je je verhaal misschien iets verduidelijken en uitbreiden? Zover als ik kan zien is verkeer op poort 80 en 443 heel normaal//

maandag 12 juli 2004 13:47

Acties:

Verwijderd

SSH schreef op 12 juli 2004 @ 12:13:
Kan je je verhaal misschien iets verduidelijken en uitbreiden? Zover als ik kan zien is verkeer op poort 80 en 443 heel normaal//

Post lezen!!!! TS heeft het over shellcode.

@TS: Op de securityfocus incidents maillinglist heeft iemand het over dat zijn apache 1.3.31/php 4.3.7/nieuwste modssl geroot werd... hij zag veel van dit soort dingen in zijn logs:

code:

1
2
3

64.110.x3x.217 - - [02/Jul/2004:12:04:17 -0700] "\x80L\x01\x03" 501 -
64.110.x3x.217 - - [02/Jul/2004:12:04:23 -0700] "\x80L\x01\x03" 501 -
216.90.2xx.3 - - [02/Jul/2004:12:20:39 -0700] "\x80L\x01\x03" 501 -

Misschien kan je die shellcode ff hier neer zetten, of een etheral dumpie maken.
Zorg i.i.g. dat je webservert en alles wat ie gebruikt up to date is.