Re: MyDoom.B
Andreas Kretschmer schrieb: [...] So, wie er mir vorliegt, geistert er nicht in der Wildbahn rum. Von daher ist es kein Problem, wenn der Scanner ihn nicht findet. Frag doch einfach nach, ob Du ihn nicht in einem normalen Archiv bekommen kannst. Passwortgeschützte Zips sind üblich. -- Gruß, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SWEN again ?
Michelle Konzack schrieb: ich bin vor rund einer Stunde nach hause gekommen, als mir mein mailserver einen 180 kByte langen report lieferte... So lange warst Du doch gar nicht weg... 781 E-Mail's von 140/160 kBytes... Seit 21:00 habe ich jetzt nochmal 63 bekommen. Wie machst Du das bloß? Schon mal daran gedacht, Deine Email-Adresse(n) zu wechseln? Für Mailinglisten nehme ich nur Adressen, die ich bei Bedarf entsorgen kann. Trotz über 40 subskribierten Listen bekomme ich gerade mal drei Virenmails am Tag. Das ist gerade noch erträglich. SWEN läßt grüßen Gruß zurück. Habe nur ich die Bekommen oder ihr auch ? Nö. -- Viele Grüße, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Welche Verschlüsselung ist sicherer
[...] Ich habe jetzt einige Tools gefunden. Was ist da besser, Verschlüsselung mit rc2 oder blowfish? RC2 muß AFAIK von RSA Security lizenziert werden, ist also eher ungeschickt, den zu nehmen. Blowfish ist OK. Wenn möglich, würde ich allerdings AES (Rijndael) verwenden. Für den Hausgebrauch sind all diese Algorithmen gut genug, vorausgesetzt sie arbeiten in dem von Dir gewählten Produkt mit genügend großer Schlüssellänge. Den Schwachpunkt bilden in der Regel nicht die Algorithmen, sondern die Implementierung des Produktes. Was nützt es z.B., wenn die Verschlüsselung sicher ist, die Passwörter aber im Klartext in der Swap-Partition landen. -- Viele Grüße, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Versuchter Hackangriff ???
Hallo Michelle, [...] Sag mal, willst Du mich nicht verstehen? Ich verstehe sehr wohl ! Auch ich habe anscheinend Probleme zu Dir durch zu dringen ;-) Ich habe Dir das Googeln empfohlen, damit Du Dich auch ueber geeignete Abwehrmassnahmen informieren kannst - fuer Deinen mit Linux betriebenen Apache. Ich benötige eine erkärung für die 'hash...' und nicht for eine root.exe. Du bist doch sonst nicht so oberflaechlich... Google gibt über die 'hash...' Anfragen nichts vernünftiges her. Vieleiht liegt es daran, das ich nicht weis, nach was ich suchen soll. Nach 'Apache hash Access log' und ähnlichem zu suchen hat nichts gebracht. Mir Sorgen um Dein Wohlergehen machend, befragte auch ich die allwissende.muellhal.de. Und siehe, es ward gefunden www.bluecoat.com/downloads/whitepapers/BCS_controlling_p2p_applications.pdf . Den Link hast Du mit der zweiten Antwort auf Dein Posting vom 31.12 bekommen. Was ich damit sagen wollte ist, daß Du Dir bezüglich des GET /.hash=HEXHEX... HTTP/1.1 mit hoher Wahrscheinlichkeit keine Sorgen zu machen brauchst, da es sich vermutlich um, zwar lästige aber zulässige, HTTP-Anfragen auf Port 80 handelt. Es sind irgend welche Kazaa-Clients, die meinen, DE.IN.E.IP:80 wäre ein Kazaa-Server, von dem man coole mp3s herunterladen könne. Warum Kazaa solche URLs verwendet kann ich nur raten: ratVermutlich werden gesharete Dateien im Kazaa-Netzwerk durch einen eindeutigen Hashwert identifiziert (die 40 Hex-Ziffern deuten auf SHA hin). Will nun der Kazaa-Client die Datei XY von einem Sever herunterladen, stellt er an den Server die HTTP-Anfrage GET /.hash=7d5d270fafa3b6e899b12924a4698386d8c6645b HTTP/1.1 , wobei 7d5... der Hashwert der Datei XY ist. Findet der Server die Datei mit dem entsprechenden Hashwert, so schickt er diese an den dann zufriedenen Client zurück./rat -- Viele Grüße, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Michelle Konzack schrieb: nachdem auch die lezte Nacht wieder aus der Domaine wanadoo.fr wieder über 2300 Anfragen kamen (meine IP wechselt alle 24 Stunden) möchte ich diesen Schrott direkt auf meinem Router mit Hilfe von 'iptables' blockieren... Die Requests kommen bei Dir auf Port 80 rein, da Du einen Webserver am Laufen hast. Um gute von bösen Request zu unterscheiden, müsste die Firewall den Inhalt der Pakete analysieren. Ich kenne mich mit iptables zwar nicht aus, habe aber Bedenken, ob es sonderlich effektiv ist, jeden HTTP-Request dort analysieren zu lassen (sofern das überhaupt geht). Dein Apache reagiert doch korrekt mit einem 404er Statuscode auf die Kazaa-Requests. Warum das nicht so lassen? Googeln bringt noch die vage Möglichkeit, duch Öffnen des Ports 1214 die Clients davon abhalten zu können, es mit Port 80 zu versuchen. Falls man dahinter ein Honigtöpfchen aufstellen würde, könnte das sogar funktionieren. -- Gruß, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Michelle Konzack schrieb: [...] Googeln bringt noch die vage Möglichkeit, duch Öffnen des Ports 1214 die Clients davon abhalten zu können, es mit Port 80 zu versuchen. Falls man dahinter ein Honigtöpfchen aufstellen würde, könnte das sogar funktionieren. Das habe ich mit einem samba Server gemacht... Frag mich ja nicht, was da elles in den Logdateien drin stand und was die Leute da abgeladen haben (habe eine share mal public eingerichtet) Nein, bloß keinen echten Filesharing-Server auf 1214 horchen lassen. Ich kenne das Kazaa-Protokoll auch nicht so genau, die von Dir beschriebenen GET-Anfragen könnte man aber an Port 1214 von einem über den inetd angesteuerten Script schön langsam mit einem 'Hallo Welt' oder so beantworten lassen. -- Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Torsten Schneider schrieb: Da ist es doch sinnvoller, die ganze Kacke schon auf dem Router zu unterbinden, was ja auch gleichzeitig die Sicherheit erhöht. Wieso sollte das die Sicherheit erhöhen? Kann dem Server doch eh nicht anhaben. Stimmt. Den Traffic auf dem Router zu unterbinden, verringert aber die Sicherheit gewiß nicht. Also wird sie erhöht. Sich auf diesen Standpunkt zu stellen, ist nicht verkehrt. -- Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Michelle Konzack schrieb:
[...]
Sowas würde mich schon mal interessieren...
Alle Ports die Nicht verwendert werden mit Dummies/Fakes belegen ;-)
Wenn's Dir Spaß macht... So könnte es gehen:
xinetd installieren (oder inetd), unix2dos installieren, die Datei
--- schnipp kazaatchok ---
#!/bin/sh
SLEEP=3
unix2dos EOH
HTTP/1.1 200 OK
Date: `date -R`
Server: Kazaatchok
Connection: close
Last-Modified: Tue, 01 Apr 2003 00:00:00 GMT
X-Kazaa-Username: dodo
X-Kazaa-Network: KaZaA
Content-Type: text/plain
Content-Length: 10
EOH
echo -n H
sleep $SLEEP
echo -n a
sleep $SLEEP
echo -n l
sleep $SLEEP
echo -n l
sleep $SLEEP
echo -e 'o\r\n'
--- schnapp kazaatchok ---
irgendwo ablegen, ausführbar machen, Berechtigungen geeignet setzen. In
etc/xinetd.d/ die Datei
--- schnipp kazaa ---
service kazaa
{
socket_type = stream
protocol= tcp
user= deinuser
wait= no
disable = no
server = /dein/pfad/kazaatchok
}
--- schnapp kazaa ---
ablegen, /dein/pfad und deinuser geeignet setzten (!= root).
xinetd starten, mit
# telnet deinserver 1214
testen.
Mit tcpdump o.ä. schauen, ob die Tölpel auch darauf hereinfallen.
Sollte es funktionieren, kannst Du die Response in die Länge ziehen, indem
Du $SLEEP vergrößerst.
--
Gruß,
Alex
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Versuchter Hackangriff ???
Michelle Konzack schrieb: Ich wollte eigentlich wissen, was es mit /hash? auf sich hat. Habe mal nach irgendwelchen kranken filesharingprogrammen ausschau gehalten, aber auf por 80 ? Für einen Filesharing-Server ist es clever auf Port 80 zu horchen und HTTP als Übertragungsprotokoll zu verwenden. Damit haben auch Clients, die hinter einer Firewall sitzen eine gute Chance, auf den Server zugreifen zu können. Und die Anfragen werden nicht weniger? Hatte vermutet, Deine vom Provider zugewiesene IP hätte gewechselt. Das hätte zumindest einiges erklären können. -- Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Versuchter Hackangriff ???
Hi Michelle, [...] nachdem ich seit dem 2003-12-28 02:51 mein ADSL (ein krankes USB ADSL- Modem das aufgrund genialer Linux-Developper doch funktioniert) laufen habe, habe ich gestern in meiner Webserver Log rund 700 des folgenden Eintrags gefunden: 80.236.107.199 - - [30/Dec/2003:12:54:11 +] GET /.hash=7d5d270fafa3b6e899b12924a4698386d8c6645b HTTP/1.1 404 0 - - [...] Aber was ist ersteres ? Vielleicht hatte der Vorbesitzer Deiner IP einen Filesharing-Server am laufen: www.bluecoat.com/downloads/whitepapers/ BCS_controlling_p2p_applications.pdf (s. Abschnitt über Peer-to-Peer Connection(s)) -- Viele Grüße, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Festplatte Standby
Heiko Günther schrieb: [...] etc..). Welche Möglichkeiten gibt es, rauszufinden, welche Programme periodisch auf die Platte zugreifen? Ich betreibe übrigens einen neuen 2.6er Kernel. z.B. http://www.sysinternals.com/linux/utilities/filemon.shtml. Nachteil: hat ein GUI und möchte gerne eine kylix Runtime haben. -- Viele Grüße, Alex P.S.: Sorry für die PM -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Was genau ist eine C2 Zertifizierung
Manuel Wildauer schrieb: habe eine frage die ich mit hilfe von google nicht so eindeutig klären konnte, und zwar was ist eine C2 Zertifizierung? * Was man muss dafür habe bzw. nicht haben? * Wer vergibt diese? * Habe einiges über Windows/Novell gefunden, aber was ist mit Linux? * Was hat das mit dem Orange Book zu tun? (Hab ich im Kontext mit C2 gefunden bei google) Das Orange Book (Trusted Computer System Evaluation Criteria [1]) des US-Verteidigungsministeriums definiert Kriterien, nach denen Computersysteme in unterschiedliche Sicherheitsstufen eingeordnet werden können. Die Abstufungen reichen von A1 (Verifiziertes Design) bis D (minimale Sicherheit). C2 bedeutet sicheren kontrollierten Zugriffsschutz. Linux wird keine solche Zertifikation bekommen können, da es sich lediglich um einen Betriebssystem-Kernel handelt und es keine konkrete Instanz gibt, die bestimmte Eigenschaften garantieren könnte. Daß jemand auf die Idee kommen könnte, auf Basis von Linux ein C2-zertifiziertes System zu entwickeln, ist auch eher unwahrscheinlich. Das Orange Book gilt als überholt [2]. -- Viele Grüße, Alex Ref.: [1] http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html [2] http://csrc.nist.gov/cc/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: DSL Standleitung, ist MBits/s = MB/s ?
Manfred Gnädig schrieb: auch wenn es vielleicht eine etwas blöde Frage ist, aber ich bin mir nicht wirklich sicher. Ist 2,3 MBits/s das selbe wie 2,3 MB/s ? Falls MB/s Megabyte pro Sekunde bedeuten soll, sind 2,3 MB/s = 8 * 2,3 MBit/s = 18,4 MBit/s, da ein Byte normalerweise aus acht Bits besteht. -- Viele Grüße, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: DSL Standleitung, ist MBits/s = MB/s ?
Hallo Manfred, Hallo Alexander, herzlichen Dank für deine Nachricht. Ja, ich meine mit MB = Megabyte 2,3 MB/s = 8 * 2,3 MBit/s = 18,4 MBit/s, Wenn eine DSL Leitung also 2,3 MBit/s hat, dann sind das also maximal 2,3 / 8 = 0,28 MB/s Also z.B. 1035 MB pro Stunde b.z.w. 24840 MB / Tag Ist das so richtig? Bin zwar kein Nachrichtentechniker, Deine Rechnung sollte aber so stimmen ;-) Der Wert gibt natürlich nur die theoretische Obergrenze für den Datendurchsatz an. Ich vermute mal, dass in der Praxis einige Randbedingungen die tatsächliche Übertragungsrate beeinflussen. -- Viele Grüße, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
