Kommentare zu: w00tw00t.at.ISC.SANS.DFind

Von: Lee

Lee — Thu, 31 Jul 2008 18:47:01 +0000

Immer diese möchtegern “Hacker”.
Lustig wird’s dann, wenn die Logs zusätzlich auf einen anderes Share kopiert werden - da will ich mal sehen, wie ihr mal locker flockig die auch noch löschen wollt ;o)

Von: d3hann3s

d3hann3s — Mon, 14 Jul 2008 07:38:06 +0000

:mrgreen::mrgreen::mrgreen::mrgreen::mrgreen:
ich finde es lustg.
ok mal zur erklärung von dfind, raphael hat recht es ist einfach nur ein scanner mit dem man auf ftp, mmsql scannt. entweder macht man das von zuhause aus mit nem proxy oder man nimmt einen scann stro um seine eigenen pc resurcen nicht zu schwächen und endeckt zu werden, also liegt es auf der hand das ein scanner einen stro nimmt. die ranges die er gescannt hat und die ergebnisse daraus also meist port 1433 jagt er dann durch nen bruter und schwups hat er nen zugang zu einem server. naja was dann damit machen kann muss man hier ja nicht erläutern. aber nur zu eurer beruigung dfind reicht nicht aus um euch schaden anzurichten. nunja @raphael die loggfile wird von nem guten haxx0r immer gelöscht.

Von: raphael

raphael — Thu, 24 Jan 2008 13:31:23 +0000

Meines Wissens nach ist DFind nur ein Vulnerability Scanner, kein Penetration Tool. Es scannt also vorerst nur nach Schwachstellen - ob es welche gefunden hat und die wiederum mit diversen Exploits ausgenutzt wurden, kannst Du so nicht feststellen. Es geht wohl hauptsächlich um Schwachstellen in Server-Anwendungen, hier hilft also regelmäßiges Updaten.

Ob ein Angriff / Einbruch erfolgte, kann wohl nur durch Lesen der Logfiles oder das Scannen mittels Rootkit-Scannern (wie z.B. rkhunter) herausgefunden werden - wenn überhaupt.

Von: Torsten Zuther

Torsten Zuther — Thu, 24 Jan 2008 07:58:28 +0000

Hallo, habe dieses log auch auf meinem Miniwebserver gefunden , wie sehe ich , ob Schaden angerichtet wurde , können daten gelesen worden sein, der Angriff wurde als bad gekennzeichnet