© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Wed, Apr 14, 2004 at 02:06:37PM +0200, Hannes Widmer wrote:
> Salü Peter
>
> Danke erstmal für deinen reply
>
>
> > On Wed, Apr 14, 2004 at 09:39:36AM +0200, Widmer Hannes wrote:
> > > Hallo Liste
> > Fuer mich sieht das da unten nach einer Attacke auf deinen
> > Rechner aus. Und zwar
>
> Hab ich mir irgendwie gedacht. Wie hat der denn dies gemacht?...
> Tools oder commands in der Shell?...
> Wo kann ich mich da mal informieren?
Ist doch egal - dein Apache erlaub mehr gleichzeitige Requests als
deine Maschine zu verarbeiten in der lage ist.
Eindeutig ein Konfigurationsfehler bei dir.
> Hab meine Kernels nun gepatcht....
> >
> > - buffer-overflow auf mysql und apache
> > Anders kann ich mir nicht vorstellen, warum die
> > Prozesse mysqld
> > und httpd so gross werden, dass das vm Subsystem sie killt.
> > Nebenbemerkung: Das VM System schiesst bei
> > Speichermangel den groesten
> > laufenden Prozess ab.
>
> Okay, apache verstehe ich noch aber wieso Mysql?.. Der Port 3306
> ist zu und der Apache (php) schreibt da rein.
> Wie geht es da nen overflow auf mysql zu erreichen?
>
> Muss mal bei apache schauen ob meine Ver buggy ist oder php etc.
IMHO ist PHP nichts weiter als ein einzige Bug.
Wenn du die Anfragen nicht sauber filterst kann schnell mal jemand
über eine Webseite einen beliebigen Request abschicken.
Aber es ist ja schon erwähnt worden, dass MySQL auch nur Opfer der
Fehlkonfiguration sein kann.
> > Sieht nach Buffer-Overflow Attacke aus. Bitte als reine
> > Vermutung betrachten.
> >
> > > Apr 2 16:10:53 matrix /kernel: arp: 00:06:b1:xx:xx:xx is
> > using my IP
> > > address 62 .2.113.168!
>
> Wenn ein anderer Rechner deine IP als ARP-Reply schickt,
> dann hast du den Kandidaten.
Genau - Und damit behauptet ein anderer Rechner behauptet deine IP
zu haben.
Entweder ist das ein gezielter Angriff um Packet über Switchgrenzen
hinweg zu entführen oder ein anderer Rechner hat tatsächlich die IP
konfiguriert.
Eine weitere Möglichkeit wäre Proxy ARP was einen Rechner dazu
veranlassen kann sich für fremde IPs zu interessieren,
In jedem Fall hast du die MAC und kannst damit den Rechner
identifizieren, solange nicht auch diese gefaked war.
> Ja, aber der ist ja nicht in meinem Netz? Geht doch gar
> nicht oder?.... Bzw. mein outgoing traffic geht sicher
> nicht zu ihm, oder?...
Doch der ist in deinem Netz - ARP kann man nicht routen.
-- B.Walter BWCT http://www.bwct.de ticso(at)bwct.de info(at)bwct.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 14 Apr 2004 - 14:32:52 CEST