Re: Hacker auf System! was kann ich machen

From: Oliver Fromme <olli(at)secnetix.de>
Date: Sun, 5 Aug 2001 22:50:01 +0200 (CEST)



Dominik Brettnacher <domi(at)saargate.de> wrote:


 > On Sun, 5 Aug 2001, Lukas Beeler wrote:


 > > >aber schaden kann eine solche Maßnahme ja nichts.


 > > doch, ich denke genau das kann der fall sein.


 > > verschiedene programme sind z.B. auf den header angewiesen, da sie an


 > > diesem feststellen können mit welcher software sie sprechen.


 > 


 > Jetzt mal im ernst: wenn ein SMTP-Server beim Versand einer Nachricht an


 > unbekannte Gegenstelle mit streiken beginnt, dann gehört er abgeschafft.



So kraß muß es ja nicht gleich sein.  Aber ein Client kann


durchaus feststellen, wenn er einen Server vor sich hat,


der spezielle Features bietet, und diese dann nutzen.  Ist


es ein ihm unbekannter Client, verwendet er halt das (mög-


licherweise weniger effiziente) 08/15-Protokoll.



Bekanntes Beispiel ist etwa die "ESMTP"-Grußzeile bei MTAs.


Und wenn ein FTP-Client (etwa ein Mirror-Programm) anhand


der Servermeldung sieht, daß er einen Wuftpd vor sich hat,


weiß er, daß er einige Kommandos verwenden kann, die RFC959


nicht vorsieht, z.B. MDTM.  Ähnliches bei Newsservern.



Davon abgesehen hilft eine korrekte Identifikationszeile


beim Debuggen von Problemen.  Wenn ich ein Problem mit


einem MTA irgendwo draußen in der Prärie habe, dann gucke


ich schonmal per telnet nach, was das überhaupt für ein


Server ist (bzw. was es für ein Server zu sein vorgibt).



Das verschleiern zu wollen halte ich für ziemlich nutzlos.


Die üblichen Skript-Kiddies scannen einfach die Ports (wenn


überhaupt) und lassen dann ihre Standard-Exploits auf alles


los, was nicht bei drei auf den Bäumen ist (kein TCP RST


geschickt hat).  Ich glaube kaum, daß die sich angucken,


was da überhaupt für eine Software läuft und sich dann


sagen:  »Ach, das ist ein Apache und kein MS-IIS, da brauch


ich's gar nicht erst zu versuchen.«  Sie versuchen es.


Ich seh's ja immer wieder in meinen Logs.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sun 05 Aug 2001 - 22:50:04 CEST













search this site