|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Ich habe mal in den Webserverlogs nachgeschaut, die haben hier ca. 3000 "Scans" durchgeführt angefangen am 23 bis heute. Ich bastle mal ein Perl Script, dann kann ich mit genaueren Zahlen dienen.
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3000? Das ist schon enorm viel ... ist's jedesmal die gleiche Datei oder haben sie verschiedene gesucht?
Falls du deinen Net-Traffic bezahlen musst, solltest du denen den von den M$-Spinnern erzeugten in Rechnung stellen :)
(Was fuer ein Satz ... )
Colin
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja es waren dann doch nich die geschätzten 3000 (Da habe ich einfach mal angenommen das auf jede Domain gleichviele Scans gemacht wurden....)sondern nur etwas unter 1000, die Anzahl der Requiests ist sehr unterschiedlich auf verschiedene Domains verteilt, Bekanntere Domains wurden heufiger gescant. Es sieht fast so aus als ob die Scandaten aus den ergebnissen einer Suchmaschiene stammen würden. Ich denke die haben bei $suchmaschiene nach einem bestimmten Begriff gesucht, und dann die Ergebnisse durch ihren Bot gewurstelt. Das Programm läuft überigens nicht mal fehlerfrei, auf einer Domain habe ich 101 Requests auf / gesehen (Das würde ich schon fast DoS nennen).
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|
|
|
|
|
|
Hm... mal sehn...
*************
195.141.86.145 - - [24/May/2002:21:28:22 +0200] "GET http://www.eheseelsorge.ch/hgfserd.aspx HTTP/1.0" 404 325 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
195.141.86.145 - - [25/May/2002:13:38:01 +0200] "GET http://www.eheseelsorge.ch/Default.aspx HTTP/1.0" 404 325 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
195.141.86.145 - - [25/May/2002:13:53:03 +0200] "GET http://www.eheseelsorge.ch/Default.aspx HTTP/1.0" 404 325 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
195.141.86.145 - - [25/May/2002:15:15:20 +0200] "GET http://www.eheseelsorge.ch/ertdfgderww.aspx HTTP/1.0" 404 329 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
195.141.86.145 - - [25/May/2002:18:14:53 +0200] "GET http://www.eheseelsorge.ch/ertdfgderww.aspx HTTP/1.0" 404 329 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
195.141.86.145 - - [25/May/2002:19:35:04 +0200] "GET http://www.eheseelsorge.ch/ HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
195.141.86.145 - - [26/May/2002:11:48:20 +0200] "GET http://www.eheseelsorge.ch/ HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
************
Naja, die Anzahl hält sich in Grenzen... lustigerweise ist diese Page bisher von nirgends verlinkt und auch ned die default-page auf dieser IP! Die müssen fast die switch-db genommen haben, um diese Domain zu finden!
Testen die damit ihr .NET Zeugs? Schaut euch mal die Browser-Kennung an!
Mal nachfragen, was das soll!
--
auch die Zehe ist ein Laufwerk
|
|
|
|
|
|
|
|
|
|
|
|
|
Also ich habe über hundert Requests in der Form
195.141.86.145 - - [23/May/2002:23:31:43 +0200] "GET http://www.w3.org/ HTTP/1.0" 404 211 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
auf eine Domain, Das sieht doch fast wie ein Proxy-scan aus oder?
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|
|
|
|
|
|
unter 195.141.86.145 läuft ein Server (Port 80 offen) für die Microsoft User Group Switzerland... Nennen sich selbst MSUGS... mal abgesehen von der schreibweise, das tönt fast wie "MS SUX" .-))
Fassen wir mal zusammen:
- Kiste ohne reverse-lookup
- Tote Mailadresse in Whois-Eintrag
- Webserver
- MS scannt von dieser Adresse aus schweizer Domains nach seltsamen .aspx-dateien ab
Unter dieser IP-Adresse sind mehrere domains zu finden! So z.B.:
- www.msugs.ch
- hosting.msugs.ch (hier können Entwickler ihre apps testen... ist das jemand von denen?)
- www.ms-community.ch
Mehr hab ich momentan ned gefunden...
Lustig ist die Seite:
hosting.msugs.ch auf jeden Fall! Echt sehenswert!
cu
kruemi
--
auch die Zehe ist ein Laufwerk
|
|
|
|
|
|
|
|
|
|
|
|
|
Wir haben dasselbe festgestellt und uns bei msugs telefonisch erkundigt, was das ganze soll. Wir wurden an einen Administrator mit @microsoft.com Adresse verwiesen, der uns eine schriftliche Stellungnahme versprach. Ich halte euch auf dem laufenden!
CrypTom
|
|
|
|
|
|
|
|
|
|
|
|
|
Die scheinen ja das ja manuell zu machen! Kann den M$ den gar nichts richtig?
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich hab mal bei MS nachgefragt, was das ganze soll. Falls ich eine Antwort bekomme, werde ich natürlich Symlink darüber informieren.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
> From: postmaster@microsoft.com
>
> This is an automatically generated Delivery Status
> Notification.
>
> Delivery to the following recipients failed.
>
> thomas.rupp@microsoft.com
Der ist aber bei RIPE als Kontakt eingetragen...
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich habe natürlich auch gleich mal ein Mail an diesen Thomas Rupp geschrieben und die gleiche Antwort bekommen. Mal schauen, ob ich noch eine andere Mailadresse finde...
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 27. May, 09:20 MES (#13)
|
|
|
|
|
Ich fuellte das Kontakt-Formular auf der MS-Schweiz Seite aus und bekam folgende Antwort:
-----------------------------------
Sehr geehrter Herr Hirt,
vielen Dank für Ihre Anfrage.
Wir bitten Sie, für dieses Problem den kostenlosen technischen Support von Microsoft unter folgender Rufnummer zu kontaktieren: 0848 80 22 55
Für Rückfragen stehen wir Ihnen gern zur Verfügung.
Mit freundlichen Grüssen
Iris Schwaiger
Microsoft Communication Center
Customer Service Switzerland
-----------------------------------
Gruesse, Dominik
|
|
|
|
|
|
|
|
|
|
|
|
|
ah...??? Das Formular ist wohl nur das Frontend zu dieser Meldung... (ein paar Adressen abgrasen und den Fragesteller an die Hotline schicken???)
MS ist immer für eine Überraschung gut... so nach dem Motto: "Du denkst Du hättest das Übelste schon gesehen? Also... wir hätten da noch eine Überraschung...".
Der Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
da die msugs.ch betreiber des Servers zu sein scheint hab ich mal an info@msugs.ch geschrieben...
******************
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
cfrei@microsoft.com
*******************
MS scheint ein kleines Problem damit zu haben, ihre Daten aktuell zu halten!
Oder ist das ganze etwa ein Fake?
cu
kruemi
--
auch die Zehe ist ein Laufwerk
|
|
|
|
|
|
|
|
|
|
|
|
|
Haben Domainhalter, die ihre Kontaktinformationen nicht aktuell halten, eigentlich weiterhin ein Recht auf ihre Domain? Nun... vermutlich schon, so lange die Rechnung irgendwie zugestellt werden kann. Aber ich finde, es sollte nicht so sein!
Gruss
Der Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja die haben noch mehr Probleme, vorstand@msugs.ch
geht auch an cfrei@microsoft.com und funktioniert somit auch nicht. Seit wann besteht der Vorstand bei einem Verrein aus einer Person?
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja, das heisst ja nur, dass dieser frei derjenige ist, der die Mails für den Vorstand einsammelt.
>
Vielleicht war dieser Frei ja der einzige, der ein Mailprogramm bedienen konnte... und seit er aus dem Verein ausgetreten ist kann's halt keiner mehr.
>
Der Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
wenn man bei MS einen portscan macht, dann wird man fast öffentlich hingerichtet.
aber wenn MS die ganze schweiz abscannt, dann soll man dies hinnehmen?
übrigens: die sunrise firewall, welche MS schützt, blockt die IP adressen, von denen aus portscans kommen. wie wärs, wenn man die absender IP faked und deren gateway angibt. dann sollte die firewall doch den gateway blocken :)
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Sunday 26. May, 16:47 MES (#7)
|
|
|
|
|
>wie wärs, wenn man die absender IP faked und deren
>gateway angibt. dann sollte die firewall doch den
>gateway blocken :)
wenn ich mich nicht gewaltig täusche dann habe ich mal einen Bericht über genau diese Problematik von Sunrise/MS gelesen.
pb
|
|
|
|
|
|
|
|
|
|
|
|
|
Solche szenarios sind genau der grund, warum dynamische firewalls niemals blockierungs oder gar "strafaktionen" auslösen dürfen, ohne sicher zu gehen, dass die IP nicht gefaked ist. ... der erste, der das herausfindet, schiesst damit auf einen selber oder irgend jemanden unbeteiligtes. Auch schutzlisten helfen da wenig. Portsentry ist je nach setup hart an der grenze zum gefährlichen.
|
|
|
|
|
|
|
|
|
|
|
|
|
Obwohl du recht hast, dass man sich solcher Abfragen bewust sein muss, wenn man einen Webserver betreibt, kann ein robot.txt genaue diese Art von Abfragen verhindern...
RTFB - Why do we need source code?
|
|
|
|
|
|
|
|
|
|
|
|
|
ln -s /dev/random ~wwwrun/htdocs/Default.aspx
:)
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 27. May, 14:49 MES (#24)
|
|
|
|
|
spinnst du? und wenn deren server mehr bandbreite hat als deiner?und tschuess...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Oups. Zuviel rumgesurft und den Faden verloren. War natürlich schon am Anfang drin. Sorry.
-- ESH
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 27. May, 14:53 MES (#26)
|
|
|
|
|
Hat schon jemand den Datenschutbeauftragten informiert?
Sollte man nicht noch die Tagepresse "Blick, NZZ, Tagi..." informieren?
Fals JA:
Wie soll man vorgehen, am besten meldet sich doch ein Verein und keine privat Person.
Würde ein Verein "trashnet, lugs..." dies übernehmen?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
bevor irgendjemand diesen schritt unternimmt, ist imho noetig, mit sicherheit festzustellen, dass die "scans" wirklich von dieser IP kommen und nicht gefaked sind.
Seuli
--
O'Toole said: Murphy was an optimist.
|
|
|
|
|
|
|
|
|
|
|
|
|
Stimmt. Für die Meldung an die Zeitungen gilt (leider) das gleiche... oder will sich jemand darauf verlassen, dass die das selber technisch korrekt recherchieren?
Der Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
Diese Frage können wohl einzig Microsoft, die MSUGS oder ev. noch Sunrise beantworten!
Für alle anderen ist es schwierig bis unmöglich, das herauszufinden!
Mir kam sogar mal der Verdacht, der Server habe gar nix mit MS zu tun!
1. Ist er in einem 8er Subnet. Etwas wenig für MS
2. laufen auf demselben Server dort verschiedene Domains. (MUSS nix heissen!)
3. ist kein Reverse-Lookup vorhanden
4. für eine domain werden die sunrise-DNS verwendet, für eine andere irgendwelche .com-server
5. Der Server scheint zwar aktuelle software zu haben, aber die aliasse zeigen AUFFALEND DEUTLICH auf nicht (mehr) existente @microsoft.com adressen.
6. Die Schreibweise der Adressen ist inkonsistent (thomas.rupp@microsoft.com vs. cfrei@microsoft.com)
7. Im WHOIS-Eintrag von msugs.ch steht nix von Microsoft. In dem von ms-community.ch (welche auf demselben Server liegt) hingegen schon.
8. die Adresse, die im Whois-Record von ms-community.ch steht, existiert ned! (Richtistr. 3 gibts ned! gem. twixtel existieren nur Nr. 2. und 15.! Microsoft ist in Wallisellen an der "Alte Winterthurerstr. 14A")
Die Frage ist, ob Sunrise vor dem Eintragen in die überprüft, ob WIRKLICH MS der Auftraggeber ist.
Tja, ich weiss, emine Argumente sind alles andere als Stichhaltig, aber ev. mal zu überdenken. Klärung kann hier wohl wirklich nur MS selbst bringen!
cu
kruemi
--
auch die Zehe ist ein Laufwerk
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 27. May, 17:32 MES (#30)
|
|
|
|
|
Auf ch.admin hat einer eine Antwort von MS veröffentlicht.
Hier ist die Message ID:
3cf1e632.5603146@mailhost.atrete.ch
Mfg Nik
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hier das offizielle Statement von Microsoft:
Es ist richtig, dass ein Web-Roboter von Microsoft Schweiz von Schweizern Webservern
jeweils eine bestimmte Webseite abzurufen versucht hat.
Es sollte damit nicht der Inhalte der Website gescannt werden, sondern durch das
Abrufen einer sicher nicht vorhandenen Seite (darum die ungewöhnliche
Seitenbezeichnung) eine Standardfehlermeldung erzeugt werden; es handelt sich um
jene Fehlermeldung, die erscheint, wenn eine verlangte Webseite nicht gefunden
werden kann (Fehler 404). Insofern ging der Web-Roboter weniger weit, als dies
Suchmaschinen normalerweise tun.
Es handelt sich dabei um ein im Internet verbreitetes, von diversen Marktforschungs-
und anderen Firmen verwendetes Verfahren um festzustellen, auf welcher
Systemsoftwareplattform ein Webserver offiziell läuft. Eine Firma, die zum Beispiel
solche und noch sehr viel mehr Daten regelmässig erhebt und sogar publiziert, ist
www.netcraft.com. Microsoft Schweiz hingegen hat die erhobenen Daten über die Typen
von Systemplattformen von Schweizer Webservern zu einer anonymen Statistik
zusammengeführt; die abgerufenen Daten wurden bereits wieder gelöscht und nicht nach
einzelnen Servern ausgewertet.
Die verwendete WHOIS Datenbank wurde von SWITCH im Rahmen der Acceptable Usage
Policy (AUP) dafür zur Verfügung gestellt.
Der Web-Roboter griff übrigens nur auf Webserver zu, wie dies ein normaler Browser
tut. Andere Ports ("Türen") des Servers wurden nicht gescannt.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
In Anbetracht, dass sich MS Schweiz einen Tag lang Zeit fuer dieses Statement liess, ist dieses erstaunlich kurz und fehlerhaft. (orthografisch)
Auch der Inhalt ist nicht zufriedenstellend und gar dünn:
Wieso wird nicht nach wirklichen Phantasienamen gesucht, wenn es nur um den Error 404 geht?
Wieso taucht fast überall "Default.aspx" auf, eine Datei, welche im Zusammenhang mit .NET Komponenten auf ein IIS 5 System gelangt?
|
|
|
|
|
|
|
|
|
|
|
|
|
Wieso müssen auf einen virtuellen Server 101 Requests gemacht werden um festzustellen welches OS er verwendet, wieso werden bei den anderen zwischen 6 und 8 Requests gemacht, warumm sind es manchmal auch 12 naja entweder wurden wir mit Müll vollgelabert, oder die haben noch andere sachen ausgewertet. Die Lofgileinträge mit "GET http://www.w3.org" scheinen mir wohl eher ein Test auf einen offenen Proxy darzustellen (habe mir das entsprechende RFC nicht angschaut).
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 28. May, 11:31 MES (#39)
|
|
|
|
|
Hmm. Also nach einem offenen proxy haben die sicher nicht gescannt. Erstens wuerden die da nicht .ch domains durchscannen, sondern nach IPs. Ist ja wurscht ob der offene Proxy ne .ch domain hat. Zweitens wuerden sie nicht irgendwelche http Anfragen an port 80 schicken, sondern zumindest die ports 8080 und 3128 und deren banner anschauen und testen, ob der proxy wirklich offen ist.
Und wenn ich schon am belehren bin, gespooft war die IP mit ziemlicher Sicherheit auch nicht. Spoofen von verbindungsorientierten Protokollen wie TCP ist nicht ganz trivial. Jeder TCP Stack generiert die Sequence Nummern etwas anders, und die vorherzusagen ist je nach Stack schwierig bis unmoeglich.
Meiner Meinung nach wollten die wirklich nur ueberpruefen, wer schon alles Ihre .NET Produkte einsetzt. In typischer Microsoft Manier haben die sich nur ziemlich ungeschickt angestellt, daher wohl die wiederholten scans derselben domains und Anfragen fuer mehrere Dokumente.
Etwas Verbotenes haben die auch nicht gemacht. Drankriegen koennte man sie hoechstens wegen Unlauterem Wettbewerb (die bieten doch selber .NET hosting an, also haben sie ev. die Konkurrenz ausgespaeht). Von hacking Versuchen kann da nicht die Rede sein.
|
|
|
|
|
|
|
|
|
|
|
|
|
Also für mich ist es einfach erklärbar, wie die wiederholten Versuche zustandekamen... oder welches MS-
Programm läuft denn einfach beim ersten (produktiven) anlauf komplett durch? aLso musste halt mehrmals von vorne begonnen werden .-)
cu
kruemi
--
auch die Zehe ist ein Laufwerk
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 27. May, 18:28 MES (#33)
|
|
|
|
|
> Microsoft hat endlich geantwortet:
>
> --- schnipp ---
>
> Subject: Requests from 195.141.86.145
>
>
> Dear Mr. Panizzon,
>
>
>
> You have sent a message to the responsible people for the server with
> ip address: 195.141.86.145 about a 'new virus'. We have investigated
> the issue and found the following:
>
>
>
> On the server are many hosted accounts (hosting.msugs.ch) and one of
> them has been running a robot to scan some websites to find out
> whether they are publishing asp.net solutions. We have disabled this
> account and no further requests will be made through this program.
>
>
>
> However, I want to highlight, that it has not been a virus in any way
> and you will not get more of these requests on your servers from this
> robot.
>
>
>
> Regards
>
>
>
> Support MSUGS
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wie soll das jetzt verstanden werden?
Dieses und das "offizielle" Statement, welches Microsoft Schweiz uns zukommen liess, widersprechen sich gegenseitig!
Im englischen Text schimmert eine eigenmächtige Aktion eines Mitarbeiters durch, dessen Account schliesslich gesperrt wurde, ganz im Gegensatz zur deutschen Version, welche mit einer wenig plausiblen Erklärung auf eine geplante Routine-Aktion schliessen lässt...
|
|
|
|
|
|
|
|
|
|
|
|
|
Muss ned ein Mitarbeiter sein...
Auf dem Server werden .asp-Projekte von Mitgliedern der MSUGS gehostet. Kann also leicht sein, dass dort jemand Mist gebaut hat!
Und wieso sollte MS auf 404-Doikumente testen, die eh jeder so machen kann, wie er will? Netcraft verwendet ja auch ein anderes verfahren!
äusserst seltsam und fragwürdig, diese Aktion!
Auch die Aussage zur Switch-DB würde ich gerne noch hinterfragen!
cu
kruemi
--
auch die Zehe ist ein Laufwerk
|
|
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 28. May, 12:52 MES (#41)
|
|
|
|
|
Es scheint so, als würde nicht nur in der Schweiz gescannt. Auch hier in Deutschland auf meinem Server konnte ich Scans nach den aspx - Dateien finden.
[Fri May 24 21:36:21 2002] [error] [client 195.141.86.145] File does not exist: /usr/local/httpd/htdocs/ch/hgfserd.aspx
[Sat May 25 14:00:42 2002] [error] [client 195.141.86.145] File does not exist: /usr/local/httpd/htdocs/ch/Default.aspx
[Sat May 25 15:23:36 2002] [error] [client 195.141.86.145] File does not exist: /usr/local/httpd/htdocs/ch/ertdfgderww.aspx
[Sat May 25 18:23:41 2002] [error] [client 195.141.86.145] File does not exist: /usr/local/httpd/htdocs/ch/ertdfgderww.aspx
|
|
|
|
|
|
|
|
|
|
|
|
|
Hmm, ich denke das kommt daher, dass auf diesem Server eine Schweizer Domain gehostet wird, oder nicht?!
CrypTom
|
|
|
|
|
