mboost-dp1
unknown
heh :P
Men ftp.sco.com og sco.com findes jo vær på forskellig ip. Så hvis det kunne vel lade sig gøre, med den "rigtige" opsætning.
Men mere vil jeg da nok give microsoft "skylden", da det normalt kun er botnet der effektivt ville kunne ligge et site ned.
Men ftp.sco.com og sco.com findes jo vær på forskellig ip. Så hvis det kunne vel lade sig gøre, med den "rigtige" opsætning.
Men mere vil jeg da nok give microsoft "skylden", da det normalt kun er botnet der effektivt ville kunne ligge et site ned.
Jeg er imidlertid enig i at der burde være en gruppe til SCO, jeg har ikke brug for gang på gang at blive bekræftet i at de ikke har ret (hvilket stort set er min konklusion hver gang de optræder i nyhederne).
#5 Der er ingen der tvinger jer til at læse dem, ellers må i jo finde et andet nyhedssite... :)
Det er da noget pis at fyre af... Der bliver stillet et konstruktivt forslag, og du siger at hvis man er træt af SCO-nyheder, så bør man finde et andet sted end newz.dk, for der er SCO-nyheder af højeste priotitet?
- Simon
#5 Der er ingen der tvinger jer til at læse dem, ellers må i jo finde et andet nyhedssite... :)
Det er da noget pis at fyre af... Der bliver stillet et konstruktivt forslag, og du siger at hvis man er træt af SCO-nyheder, så bør man finde et andet sted end newz.dk, for der er SCO-nyheder af højeste priotitet?
- Simon
Endnu et tegn på at SCO lyver, er at http://www2.sco.com stadig er oppe! Desuden er der 7-8 ftp-servere der stadig tager indgående forbindelser, og virker (hastighedsmæssigt) upåvirkede af "problemet".
En teori går på at SCO's webserver er blevet rooted, og at de nu prøver at skjule det.
En teori går på at SCO's webserver er blevet rooted, og at de nu prøver at skjule det.
Ftp og web sku være forskellige?
Jo lad os se:
root@chilibeans:~# host -t a sco.com
sco.com has address 216.250.128.12
root@chilibeans:~# host -t a ftp.sco.com
ftp.sco.com has address 216.250.128.13
Okay, de har meget ens ip'er lad os se om ikke de er på samme subnet også:
root@chilibeans:~# whois 216.250.128.12 | grep CIDR
CIDR: 216.250.128.0/20
root@chilibeans:~# whois 216.250.128.13 | grep CIDR
CIDR: 216.250.128.0/20
Minsandten jo, hvad er sandsynligheden for at de splitter et subnet på den måde og laver to linier til en virksomhed?
En traceroute til ip'erne stopper her:
9 so1-2-0-2488M.ar1.DCA3.gblx.net (67.17.67.53)
Indtil videre ligner det godtnok at de er nede p.g.a. af et eller andet, ku være et flood angreb.... og dog lad os kigge på deres dns:
root@chilibeans:~# host -t ns sco.com
sco.com name server ns.calderasystems.com.
sco.com name server ns2.calderasystems.com.
sco.com name server nsca.sco.com.
sco.com name server c7ns1.center7.com.
Ser ud til de har et par dns kasser stående selv, lad os prøve ns2.calderasystems.com
root@chilibeans:~# time host -t a ns2.calderasystems.com ns2.calderasystems.com
Using domain server:
Name: ns2.calderasystems.com
Address: 216.250.130.5#53
Aliases:
ns2.calderasystems.com has address 216.250.130.5
real 0m0.198s
user 0m0.000s
sys 0m0.020s
Der var mindsandet hul , og tilmed hurtigt svar, nøj da, kig på ip'en? Er det samme subnet?
root@chilibeans:~# whois 216.250.130.5 | grep CIDR
CIDR: 216.250.128.0/20
Mindsandten ja!
Så vi har altså fat i samme range og højst sandsynligt også samme linie, den svarer heller ikke på ping pakker, ligesom vores traceroute også stopper cirka der hvor man ku forestille sig at sco's egen router ville stå, kunne det ikke være sjovt at se hvor mange maskiner man kunne nå på sco's netværk?
(laver her en nmap ping scanning, den pinger alle maskiner på et givent netværk, altså ikke portscanning.
root@chilibeans:~# nmap -sP 216.250.128.0/20
Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-11 15:18 CET
Host 216.250.128.32 seems to be a subnet broadcast address (returned 1 extra pings).
Host artemis.caldera.com (216.250.128.33) appears to be up.
Host apollo.sco.com (216.250.128.35) appears to be up.
Host stage.caldera.com (216.250.128.37) appears to be up.
Host cologw.caldera.com (216.250.128.46) appears to be up.
Host 216.250.128.47 seems to be a subnet broadcast address (returned 1 extra pings).
Host 216.250.128.192 seems to be a subnet broadcast address (returned 1 extra pings).
Host jace.canopy.com (216.250.128.193) appears to be up.
Host public.sco.com (216.250.128.194) appears to be up.
Host register.sco.com (216.250.128.197) appears to be up.
Host authentica.caldera.com (216.250.128.198) appears to be up.
Host vupdate.sco.com (216.250.128.200) appears to be up.
Host bosshog.j2.net (216.250.128.210) appears to be up.
Host scoxweb.sco.com (216.250.128.220) appears to be up.
Host scoxdb.sco.com (216.250.128.221) appears to be up.
Host zeus.ut.sco.com (216.250.128.225) appears to be up.
Host www.vultus.com (216.250.128.235) appears to be up.
Host data.vultus.com (216.250.128.236) appears to be up.
Host bugzilla.vultus.com (216.250.128.237) appears to be up.
-- snip --
Host c7pub-216-250-143-250.center7.com (216.250.143.250) appears to be up.
Host c7pub-216-250-143-251.center7.com (216.250.143.251) appears to be up.
Host 216.250.143.255 seems to be a subnet broadcast address (returned 1 extra pings).
Nmap run completed -- 4096 IP addresses (240 hosts up) scanned in 161.251 seconds
altså har vi et pænt antal maskiner der svarer , også nogen jeg syntes helt tydeligt tilhører sco :) Samtidig viser det sig også at det ikke er sco's range men at de nok mere sandsynligt har en subrange , men konklutionen er ihvertfald at hvis de er nede er det ikke p.g.a. dos angreb.
obs. dette er ikke på nogen måde opfordring til selvtugt eller på andre måde angreb mod sco, denne post indeholder ikke fortrolige eller ulovlige oplysninger alt er samlet med netværks diagnose værktøjer.
Jo lad os se:
root@chilibeans:~# host -t a sco.com
sco.com has address 216.250.128.12
root@chilibeans:~# host -t a ftp.sco.com
ftp.sco.com has address 216.250.128.13
Okay, de har meget ens ip'er lad os se om ikke de er på samme subnet også:
root@chilibeans:~# whois 216.250.128.12 | grep CIDR
CIDR: 216.250.128.0/20
root@chilibeans:~# whois 216.250.128.13 | grep CIDR
CIDR: 216.250.128.0/20
Minsandten jo, hvad er sandsynligheden for at de splitter et subnet på den måde og laver to linier til en virksomhed?
En traceroute til ip'erne stopper her:
9 so1-2-0-2488M.ar1.DCA3.gblx.net (67.17.67.53)
Indtil videre ligner det godtnok at de er nede p.g.a. af et eller andet, ku være et flood angreb.... og dog lad os kigge på deres dns:
root@chilibeans:~# host -t ns sco.com
sco.com name server ns.calderasystems.com.
sco.com name server ns2.calderasystems.com.
sco.com name server nsca.sco.com.
sco.com name server c7ns1.center7.com.
Ser ud til de har et par dns kasser stående selv, lad os prøve ns2.calderasystems.com
root@chilibeans:~# time host -t a ns2.calderasystems.com ns2.calderasystems.com
Using domain server:
Name: ns2.calderasystems.com
Address: 216.250.130.5#53
Aliases:
ns2.calderasystems.com has address 216.250.130.5
real 0m0.198s
user 0m0.000s
sys 0m0.020s
Der var mindsandet hul , og tilmed hurtigt svar, nøj da, kig på ip'en? Er det samme subnet?
root@chilibeans:~# whois 216.250.130.5 | grep CIDR
CIDR: 216.250.128.0/20
Mindsandten ja!
Så vi har altså fat i samme range og højst sandsynligt også samme linie, den svarer heller ikke på ping pakker, ligesom vores traceroute også stopper cirka der hvor man ku forestille sig at sco's egen router ville stå, kunne det ikke være sjovt at se hvor mange maskiner man kunne nå på sco's netværk?
(laver her en nmap ping scanning, den pinger alle maskiner på et givent netværk, altså ikke portscanning.
root@chilibeans:~# nmap -sP 216.250.128.0/20
Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-11 15:18 CET
Host 216.250.128.32 seems to be a subnet broadcast address (returned 1 extra pings).
Host artemis.caldera.com (216.250.128.33) appears to be up.
Host apollo.sco.com (216.250.128.35) appears to be up.
Host stage.caldera.com (216.250.128.37) appears to be up.
Host cologw.caldera.com (216.250.128.46) appears to be up.
Host 216.250.128.47 seems to be a subnet broadcast address (returned 1 extra pings).
Host 216.250.128.192 seems to be a subnet broadcast address (returned 1 extra pings).
Host jace.canopy.com (216.250.128.193) appears to be up.
Host public.sco.com (216.250.128.194) appears to be up.
Host register.sco.com (216.250.128.197) appears to be up.
Host authentica.caldera.com (216.250.128.198) appears to be up.
Host vupdate.sco.com (216.250.128.200) appears to be up.
Host bosshog.j2.net (216.250.128.210) appears to be up.
Host scoxweb.sco.com (216.250.128.220) appears to be up.
Host scoxdb.sco.com (216.250.128.221) appears to be up.
Host zeus.ut.sco.com (216.250.128.225) appears to be up.
Host www.vultus.com (216.250.128.235) appears to be up.
Host data.vultus.com (216.250.128.236) appears to be up.
Host bugzilla.vultus.com (216.250.128.237) appears to be up.
-- snip --
Host c7pub-216-250-143-250.center7.com (216.250.143.250) appears to be up.
Host c7pub-216-250-143-251.center7.com (216.250.143.251) appears to be up.
Host 216.250.143.255 seems to be a subnet broadcast address (returned 1 extra pings).
Nmap run completed -- 4096 IP addresses (240 hosts up) scanned in 161.251 seconds
altså har vi et pænt antal maskiner der svarer , også nogen jeg syntes helt tydeligt tilhører sco :) Samtidig viser det sig også at det ikke er sco's range men at de nok mere sandsynligt har en subrange , men konklutionen er ihvertfald at hvis de er nede er det ikke p.g.a. dos angreb.
obs. dette er ikke på nogen måde opfordring til selvtugt eller på andre måde angreb mod sco, denne post indeholder ikke fortrolige eller ulovlige oplysninger alt er samlet med netværks diagnose værktøjer.
Weasel - Der er en grund til at nmap ikke er installeret SUID root. Det er IMHO langt værre altid at kunne køre programmer der kræver root-previlegier, end det er at logge ind som root og køre dem dér når det er påkrævet.
lidt mere info her:
http://news.netcraft.com/archives/2003/12/10/ddos_...
http://news.netcraft.com/archives/2003/12/10/ddos_...
13#: Tror du jeg er logget ind som root? Hvem siger min root user har root privs? Hvem siger min shell prompt ikke er faket? Kort og godt! Lad være med at belære mig om unix, så får du snuden i klemme.
Befinder mig der i en sandbox, pointen med sådan en er at man bruger den til at teste programmer i, jeg bruger den stort set altid som root af flere årsager, den største er at det er bekvemt, den anden er at det drejer sig om 3-4 tastetryk, så er den restoret. Den sidste er så nok at jeg hellere vil ha ansvaret under fingrene (aka, dont screwup) end at jeg vil ha en eller anden fucked teknisk løsning og nu har jeg gjort sådan i snart 6 år så mon ikke det bliver ved at gå. Snakker vi produktions systemer er det self en anden sag.
Befinder mig der i en sandbox, pointen med sådan en er at man bruger den til at teste programmer i, jeg bruger den stort set altid som root af flere årsager, den største er at det er bekvemt, den anden er at det drejer sig om 3-4 tastetryk, så er den restoret. Den sidste er så nok at jeg hellere vil ha ansvaret under fingrene (aka, dont screwup) end at jeg vil ha en eller anden fucked teknisk løsning og nu har jeg gjort sådan i snart 6 år så mon ikke det bliver ved at gå. Snakker vi produktions systemer er det self en anden sag.
#17 Hvem nævnet egentligt SUID?
#19 Har selv mødt mennesker der har faket sin prompt, det kan skræmme sys.admins en hel del :-)
Desuden var det nu mest som en humoristisk bemærkning. Men din sandbox ting lyder interessant, kunne personligt godt have brug for sådan en, hvordan laver du egentligt den? Vmware, Bochs eller noget helt andet?
#19 Har selv mødt mennesker der har faket sin prompt, det kan skræmme sys.admins en hel del :-)
Desuden var det nu mest som en humoristisk bemærkning. Men din sandbox ting lyder interessant, kunne personligt godt have brug for sådan en, hvordan laver du egentligt den? Vmware, Bochs eller noget helt andet?
Man kan sagtens lægge deres webserver ned ud at det belaster deres linie. Det kræver bare a man laver masser af requests til serveren. Hvis det skal være helt godt, skal det være på en side der kræver cpu tid altså ikke en statisk side, men f.eks en søge funktion eller lignende.
Nu ville det måske være værd at kigge på følgende nyhed fra slashdot:
"The Cooperative Association for Internet Data Analysis (CAIDA), part of the San Diego Supercomputer Center at the University of California, San Diego has an analysis of the recent DDOS on SCO.com. Netcraft also has more information in their article and analysis graphs. Seems SCO was hit with a 50,000 packet-per-second SYN flood peak, which yields approximately 20 Mb/s each way, or about the capacity of a DS3 line."
"The Cooperative Association for Internet Data Analysis (CAIDA), part of the San Diego Supercomputer Center at the University of California, San Diego has an analysis of the recent DDOS on SCO.com. Netcraft also has more information in their article and analysis graphs. Seems SCO was hit with a 50,000 packet-per-second SYN flood peak, which yields approximately 20 Mb/s each way, or about the capacity of a DS3 line."
en Sandbox...
behøver jeg sige Linux Solaris eller *BSD på en gamle spand
og en putty på din win-spand. Der har du din sandbox...
--
pas på hvad i laver med nmap hjemmefra...
det kan give problemer :-/
behøver jeg sige Linux Solaris eller *BSD på en gamle spand
og en putty på din win-spand. Der har du din sandbox...
--
pas på hvad i laver med nmap hjemmefra...
det kan give problemer :-/
hvad SCO selv skriver om det:
http://www.caida.org/analysis/security/sco-dos/
http://www.caida.org/analysis/security/sco-dos/
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund