myśl co czynisz - przestroga dla idiotów mojego pokroju

woolf864 - 17-01-2008 19:40
myśl co czynisz - przestroga dla idiotów mojego pokroju
Niedawno kupiłem sobie książkę o Apache... całkiem niezłą ale to nie jest ważne... Czytałem o konfiguracji Apache i znalazłem kawałek o dyrektywie ErrorDocument... patrze a tam link:
http://sourceforge.net/projects/iisemul8

Przeczytałem że są tu emulator błędów IIS-Emulator. pobrałem zatem paczkę i rozpakowałem... następnie otworzyłem plik EXAMPLE.honeyd... w końcu to plik EXPEMPLE a kto by się przejmował nierozumianymi słowami takimi jak honeyd
a wygląda on tak:

Kod: Using the IIS Emulator with Honeyd
====================================

Install the latest versions of libevent, libdnet, and libpcap:

http://www.monkey.org/~provos/libevent/
http://libdnet.sourceforge.net/
http://www.tcpdump.org/

Install the latest versions of honeyd and arpd:

http://www.citi.umich.edu/u/provos/honeyd/

If you have problems compiling the latest snapshot, fall back to honeyd-0.2

If the compile fails with this error:
Makefile.am: CFLAGS must be set with `=' before using `+='
make: *** [Makefile.in] Error 1

Set the CFLAGS environment variable to a blank string and run make again:
$ export CFLAGS="" && make

To configure a fake IIS server running on port 80 with IP 10.1.1.1:

1. Start arpd and let it answer arp requests for that address:

# arpd 10.1.1.1/32
arpd[19057]: listening on eth0: arp and dst net 10.1.1.1/32 and not ether src xx:xx:xx:xx:xx:xx

2. Edit the honeyd.conf file in the docs directory of this package:

# cat docs/honeyd.conf
annotate "MS Windows2000 Professional RC1/W2K Advance Server Beta3" fragment old
create template
set template personality "MS Windows2000 Professional RC1/W2K Advance Server Beta3"
add template tcp port 80 "perl iisemul8.pl"
set template default tcp action reset
set template uid 32767 gid 32767
bind 10.1.1.1 template
set 10.1.1.1 uptime 1327650

(change the ip, uptime, and uid/gid as you like)

3. Start honeyd:

(assuming honeyd was extracted in ../honeyd)

# honeyd -d -p ../honeyd/nmap.prints -f docs/honeyd.conf 10.1.1.1/32
honeyd[19068]: listening on eth0: (tcp or icmp or udp) and dst net 10.1.1.1/32 and not ether src xx:xx:xx:xx:xx:xx

4. From ANOTHER system, attempt to portscan/browse/ping 10.1.1.1 ;) zgodnie z tym co tu pisze wgrałem arpd bo co to za jakiś ważny program mógłby być... kto by się takimi duperelami przejmował że nie wie się do czego program służy... to nie może być nic ważnego...
zainstalowałem wiec...
noc dzień dzisiejszy... popatrzyłem jeszcze w ten plik i uruchomiłem arpd ale że większość czasu się uczułem poszedłem na uczelnie na kolokwium... POEL (Podstawy Elektroniki) i sinusoidalne źródła napięcia... kto by myślał wtedy tak zbytnio o serwerze... kiedy wróciłem okazało się że serwer został uznany za zainfekowany...

Czy ktoś może mi poradzić co w tej sytuacji robić?? wiem że mój serwer starał się o nie swoje IP ale to z głupoty tylko... To naprawdę jedyny powód... :(

jakieś bardziej szczegółowe dane jakby ktoś kto może chciał mi pomóc podam potem na priva

bob123 - 18-01-2008 09:12
Cytat:
zgodnie z tym co tu pisze wgrałem arpd bo co to za jakiś ważny program mógłby być Radze dowiedziec sie co robic arpd, szczegolnie jezeli jest w 'sieci blokowej'

Cytat:
kiedy wróciłem okazało się że serwer został uznany za zainfekowany... Podaj wiecej szczegolow. Na jakiej podstawie twierdzisz, ze serwer zostal zainfekowany?

Cytat:
wiem że mój serwer starał się o nie swoje IP ale to z głupoty tylko... A moze arpd podszywal sie pod wszystko 'co rusza sie w Twojej sieci' ?

woolf864 - 18-01-2008 10:37
sorry. słownik źle poprawił... ;)
chodziło o zablokowany... zjadłem literę ;)
a co do arpd to już wiem co on robi. stąd ten tytuł

zanotowane.pl

doc.pisz.pl

pdf.pisz.pl

konstruktor.keep.pl