ein freund von mir hat folgendes problem..
Hallo
Habe hier einen interessanten ansatz für euch:
Benutzen die Behörden nun die provider und 10 jahre alte HP/UX Schlupflöcher um an vermutliche Filesharer zu kommen?
Alle Benutzer, die bei Qdsl oder Arcor sind, versuchen beim ersten Verbindungsaufbau über TCP, mit Fremden IP´s über HP´s RemoteWatchserver Protokoll eine Administrative Verbindung aufzubauen.
Time, Event, Intruder, Count
29.07.2003 11:08:38, RemoteWatch_Response, SERVER, 3 -qdsl IP
29.07.2003 10:59:11, RemoteWatch_Response, dsl-082-082-161-248.arcor-ip.net, 1
29.07.2003 10:58:32, RemoteWatch_Response, 82.82.161.248, 1
29.07.2003 10:48:10, RemoteWatch_Response, dsl-082-082-161-248.arcor-ip.net, 5
29.07.2003 10:32:02, RemoteWatch_Response, SERVER, 3 -qdsl IP
29.07.2003 10:32:02, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 04:03:59, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 03:16:56, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 14:22:46, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 1
29.07.2003 13:59:59, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 13:48:11, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 1
29.07.2003 13:44:37, RemoteWatch_Response, dsl-082-082-164-143.arcor-ip.net, 2
29.07.2003 13:36:15, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 1
29.07.2003 13:32:50, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 3
29.07.2003 13:31:29, RemoteWatch_Response, dsl-082-082-164-143.arcor-ip.net, 1
29.07.2003 13:29:23, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 1
29.07.2003 13:20:23, RemoteWatch_Response, dsl-082-082-164-143.arcor-ip.net, 4
29.07.2003 13:14:36, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 1
29.07.2003 13:08:58, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 4
29.07.2003 13:05:55, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 13:05:25, RemoteWatch_Response, SERVER, 3
29.07.2003 12:40:06, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 12:34:29, RemoteWatch_Response, SERVER, 3
29.07.2003 12:30:19, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 3
29.07.2003 12:04:44, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 12:03:51, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 3
29.07.2003 11:39:15, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
[Unauthorized Access Attempt] This signature detects an attempt to connect to the HP RemoteWatch server. Certain versions of HP/UX that come with the RemoteWatch package installed have a vulnerability that allows a remote attacker to execute arbitrary commands through the RemoteWatch service on the target computer.This signature
Alle Benutzer oben erzeugen automatisch diesen Attempt, wenn Sie das erste mal mit einer Neuen IP auf mich zugreifen wollen. Man Braucht schon gute firewall, die diese art Angriff Entdeckt, Sygate, Norton, McAffee Firewalls zeigen den Attack erst garnicht an!
Hoffe der Ansatz regt euch an, da auchmal zu schauen, Ich denke nen Paar hunderttausend DSL User sind nun neugierig! Denn wenn man bei den Providern anruft, hüllen die sich in schweigen und stellen sich Dumm, naja die werden ja auch fürs Dummstellen bezahlt
Mfg,
Marco
Hallo
Habe hier einen interessanten ansatz für euch:
Benutzen die Behörden nun die provider und 10 jahre alte HP/UX Schlupflöcher um an vermutliche Filesharer zu kommen?
Alle Benutzer, die bei Qdsl oder Arcor sind, versuchen beim ersten Verbindungsaufbau über TCP, mit Fremden IP´s über HP´s RemoteWatchserver Protokoll eine Administrative Verbindung aufzubauen.
Time, Event, Intruder, Count
29.07.2003 11:08:38, RemoteWatch_Response, SERVER, 3 -qdsl IP
29.07.2003 10:59:11, RemoteWatch_Response, dsl-082-082-161-248.arcor-ip.net, 1
29.07.2003 10:58:32, RemoteWatch_Response, 82.82.161.248, 1
29.07.2003 10:48:10, RemoteWatch_Response, dsl-082-082-161-248.arcor-ip.net, 5
29.07.2003 10:32:02, RemoteWatch_Response, SERVER, 3 -qdsl IP
29.07.2003 10:32:02, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 04:03:59, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 03:16:56, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 14:22:46, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 1
29.07.2003 13:59:59, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 13:48:11, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 1
29.07.2003 13:44:37, RemoteWatch_Response, dsl-082-082-164-143.arcor-ip.net, 2
29.07.2003 13:36:15, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 1
29.07.2003 13:32:50, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 3
29.07.2003 13:31:29, RemoteWatch_Response, dsl-082-082-164-143.arcor-ip.net, 1
29.07.2003 13:29:23, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 1
29.07.2003 13:20:23, RemoteWatch_Response, dsl-082-082-164-143.arcor-ip.net, 4
29.07.2003 13:14:36, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 1
29.07.2003 13:08:58, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 4
29.07.2003 13:05:55, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 13:05:25, RemoteWatch_Response, SERVER, 3
29.07.2003 12:40:06, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 12:34:29, RemoteWatch_Response, SERVER, 3
29.07.2003 12:30:19, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 3
29.07.2003 12:04:44, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
29.07.2003 12:03:51, RemoteWatch_Response, pD9E0998E.dip.t-dialin.net, 3
29.07.2003 11:39:15, RemoteWatch_Response, dsl-082-082-164-124.arcor-ip.net, 3
[Unauthorized Access Attempt] This signature detects an attempt to connect to the HP RemoteWatch server. Certain versions of HP/UX that come with the RemoteWatch package installed have a vulnerability that allows a remote attacker to execute arbitrary commands through the RemoteWatch service on the target computer.This signature
Alle Benutzer oben erzeugen automatisch diesen Attempt, wenn Sie das erste mal mit einer Neuen IP auf mich zugreifen wollen. Man Braucht schon gute firewall, die diese art Angriff Entdeckt, Sygate, Norton, McAffee Firewalls zeigen den Attack erst garnicht an!
Hoffe der Ansatz regt euch an, da auchmal zu schauen, Ich denke nen Paar hunderttausend DSL User sind nun neugierig! Denn wenn man bei den Providern anruft, hüllen die sich in schweigen und stellen sich Dumm, naja die werden ja auch fürs Dummstellen bezahlt
Mfg,
Marco