Re: ftpd Hacker anzeigen?

From: Jens Rehsack <rehsack(at)liwing.de>
Date: Sat, 21 Jun 2003 09:24:46 +0200

On 6/20/2003 8:07 PM, Oliver Fromme wrote:
> Jens Rehsack <rehsack(at)liwing.de> wrote:
> > On 6/20/2003 1:38 PM, Joerg Rieger wrote:
> > > Alles in allem gebe ich Oliver recht, einfach ignorieren.
> >
> > Na ja, das sleep() hält aber die Connection offen
>
> Ja, aber auch auf der eigenen Seite. Es belegt mehrere
> Slots im Process-table, zugehörigen Virtual-memory, einen
> Socket, zugehörige mbufs, mehrere Filedescriptoren, und
> so weiter. Und das ohne erkennbaren Nutzen.

Der Argumentation kann ich folgen.

> Wie gesagt, man begünstigt unnötigerweise einen DoS-An-
> griff, vor allem wenn es sich um einen Privatrechner han-
> delt, der nicht so üppig konfiguriert ist wie ein großer
> Server.

Na ja, aber gerade Privatrechner werden i.allg. nicht überdimensional
gescannt werden. Egal, wie gesagt: hast recht.

> Ich wäre _sofort_ dafür, wenn es darum ginge, die Tastatur
> des vermeintlichen Angreifers unter Strom zu setzen. Und

Na ja, eine aufpoppende Messagebox ist doch auch schon was, oder?

> natürlich braucht man dann eine Möglichkeit, seine Webcam
> anzuzapfen, damit man sein doofes Gesicht sehen kann.
> Anderenfalls bringt's ja alles nichts.

Du meinst also, man sollte gleich noch mit nmap die Remote-Kiste
scannen (nach den Ports, wo Webcams normalerweise abgefragt werden)?
Dann sollte man gleich mal automatisch ein paar Schnappschüsse ziehen
und die auf der angegriffenen Webseite unter der Rubrik "letzter Hacker,
der es versucht hat" einbinden.

> > und verursacht u.U.
> > bei dem Tools erhebliche Verzögerungen. Je nachdem, wie gut der "Hacker"
> > das Ding initial geschrieben hat selbst mitgedacht hat.
>
> Einen Timeout hat er höchstwahrscheinlich ohnehin einbauen
> müssen. Das heißt, er wartet garantiert nicht die 300 Se-
> kunden ab. Aber der sleep auf unsere Seite macht natürlich
> brav die 300 Sekunden bis zu Ende durch ...

Stellt sich nur die Frage, ob er eher ein blocking-read oder ein
nonblocking-read verwendet, um das Resultat abzufragen.
Netzwerkprogrammierung ist unter Windows etwas anders, mit Signalen
wie unter Unix ist da nich. Blocking-reads sind unter Windows einfach
mal deutlich leichter zu verwenden.

So long,
Jens

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 21 Jun 2003 - 09:25:00 CEST

search this site