Re: [Debian]: "santa"

To: Jens Benecke <jens@pinguin.conetix.de>, debian <debian-user-de@jfl.de>
Subject: Re: [Debian]: "santa"
From: "Christoph M. Hilberg" <hilberg@mabi.de>
Date: Fri, 09 Apr 1999 01:48:33 +0200
Message-id: <[🔎] 370D4051.957ECD6F@mabi.de>
References: <36FA9B98.C2C9D935@landshut.org> <19990326221401.I5665@debian.zuhause.de> <[🔎] 37049247.1B0F0FDB@mabi.de> <19990403001004.I2459@debian.zuhause.de> <[🔎] 370A1321.D97E681B@mabi.de> <19990406233324.B15113@debian.zuhause.de>

Jens Benecke wrote:
> debian ftp (21/tcp) REPORT The remote FTP server is vulnerable to a bounce 
Welchen ftp benutzt Du, ich habe hier den proftp. Sicher ist der auch
nicht, jedoch spuckt der nicht so viele 'Fehler' aus.
> debian daytime (13/tcp) INFO The daytime service is running.;Sometimes, the date format issued by this service can help;an intruder to guess the operating system of the remote host.;This service is potentially vulnerable to spoofing attacks;which can link the daytime port to the echo port;consuming network bandwidth.;Solution: comment out the daytime line in /etc/inetd.conf
Huch, ich dachte mit dem daytime könnte man nur irgentwelche infos
ausspähen, die nicht weiter interesannt wären. spoofing ist eh nicht
drinne das wird vom kernel geplockt.
> debian auth (113/tcp) INFO The auth service provides sensitives informations;to the intruders : it can be used to find out;which accounts are running which servers. ;This may help attackers to focus on services that;are worth hacking (those owned by root);If you do not use this service, disable it in;/etc/inetd.conf.;
na und
> debian printer (515/tcp) INFO You should check that the remote printer service (lpd);is correctly configured to accept print requests only;from a restricted panel of hosts
nagut das könnte man einschränken. Ich habe das nicht gemacht. Ich sitze
neben meinem Drucker und weis wer ihn einschaltet.
> debian exec (512/tcp) REPORT The rexecd service is activated. This may;allow someone to use your computer to;scan someone else's, and this can ;create more security problems (see;the 'Misc./rexecd' plugin for more;details);Solution : disable this service in inetd.conf
'aed-512         149/tcp    AED 512 Emulation Service
aed-512         149/udp    AED 512 Emulation Service'
Was ist AED?

> debian unknown (6000/tcp) REPORT On this machine, there is an X11-Server that grants access;without authentification. That means a hacker is able to sniff;every keystroke that is typed on the X11-Server (or get a copy of the victims screen).;Solution: use MIT-Cookies, xauth. ;
hm vielleicht solle ich mal die neuue nessus Version hohlen. Ich kann
mich über xdm beim xserver einlogen und per ssh programe auf einem
fremden Rechner starten; wenn ich mich vorher eingelogt habe. Da hat er
bis jetzt nicht gemeckert. 

> debian daytime (13/udp) INFO The daytime service is running.;Sometimes, the date format issued by this service can help;an intruder to guess the operating system of the remote host.;This service is potentially vulnerable to spoofing attacks;which can link the daytime port to the echo port;consuming network bandwidth.;Solution: comment out the daytime line in /etc/inetd.conf
wiederholung
> debian general/tcp INFO The operating system of the remote host;appears to be Linux
Damit weis der hacker welches OS Du benutzt
> debian general/icmp INFO The remote hosts answered to an icmp TIMESTAMP request.;This will give away the remote host current time to an;attacker, and this may help him to bypass time based ;authentification protocols;Solution : configure your firewalls/router and deny ICMP TIMESTAMP requests
hast Du einen timeserver laufen?
> debian sunrpc (111/udp) INFO We could connect to the remote;RPC portmapper. This can give away;interesting informations to an attacker;Solution : filter incoming traffic to this;port
'sunrpc          111/tcp    SUN Remote Procedure Call       
sunrpc          111/udp    SUN Remote Procedure Call'
was macht das?      

> debian general/udp REPORT The remote mountd server *may*  be vulnerable;to a buffer overflow which may give away a root shell;to anyone (we did not check for it though);Solution : upgrade your mountd and filter the incoming;traffic going to your portmapper (port 111);(versions up to nfs-server-2.2beta29-5 are vulnerable)
Ah hier wird es klarer Du hast nfs laufen oder? 

> debian general/udp INFO The remote host is a NIS server. You should;use a firewall to filter incoming traffic to;the port 111 of the remote host
Tja wen Du NIS benutz wird Dir nur gesagt das Du Deine Infos nicht an
jeden weitergeben sollst bzw sie durch einen firewall schützen sollst.

> debian webcache (8080/tcp) REPORT The remote proxy accepted the request : ;CONNECT debian.zuhause.de:25 HTTP/1.1;This means that anyone can use it to connect;anonymously anywhere and to bypass your firewalls;Solution: deny all the ability to perform any CONNECT;request
Das ist doch die woffel oder?
> debian webcache (8080/tcp) REPORT The remote proxy accepted the request : ;POST http://debian.zuhause.de:25 HTTP/1.1;This means that anyone can use it to connect;anonymously anywhere. This method offers an;interactive prompt to the attacker.;Solution : edit the proxy config file and deny;all the ports except 80 and 21 (ftp)
Ach ja über meinen squid kann man auch anonym nach irgentwohin. Das kann
man zumindest beim suid begrenzen. 
> debian webcache (8080/tcp) INFO The remote proxy allowed us to use its cache;If we are doing the test through an untrusted host,;this is a bad thing, else forget this warning
> debian unknown (1013/udp) INFO the rquotad RPC service is running.;If you do not use it, disable it.
> debian unknown (924/udp) INFO the yppasswdd RPC service is running.;If you do not use it, disable it.
> 
Ich weis nicht wie Dein Nezt ausgebaut ist, wenn Du eines beteibst. Bei
mir ist es so: 
Die Menschen die sich im Hausnetz tummel geniesen ein hohes Vertrauen
und können daher viel. Die Menschen von sonnstwo werden durch einen
firewall abgeblockt. Die Frage ist natürlich was läst der durch. In
meinem fall nicht viel. Beide Situationen oder Zuganswege müßen getestet
werden, zb mit nessus. 
Intern ist es zB egal wer auf den ftp Server zugreift. Von extern möchte
ich das eigentlich garnicht, also sperre ich den port.
c-toph
-- 
Grüße Christoph Marcel Hilberg Marburg
 
pgp 16 20 43 2A 20 29 61 7A  6A 49 87 5E 34 77 2E B0
http://www2.crosswinds.net/frankfurt/~room10/
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     699

Reply to:

Follow-Ups:
- Re: [Debian]: "santa"
  - From: Jens Benecke <jens@pinguin.conetix.de>

References:
- Re: [Debian]: "santa"
  - From: "Christoph M. Hilberg" <hilberg@mabi.de>
- Re: [Debian]: "santa"
  - From: "Christoph M. Hilberg" <hilberg@mabi.de>

Prev by Date: [Debian]: Netscape und mailto
Next by Date: [Debian]: Bug in Debian 2.1 ??
Previous by thread: Re: [Debian]: "santa"
Next by thread: Re: [Debian]: "santa"
Index(es):
- Date
- Thread