demdirectory

135AnhangAnhangAWeitereFilterregelnfürdasSperrenvonSuchmaschinenanfrageperModSecurity:#SuchmaschinenanfragensperrenSecFilterSelectiveHTTP_Referer"PoweredbyGravityBoard""id:350000,rev:1,severity:2,msg:'GravityBoardGoogleReconattempt'"SecFilterSelectiveHTTP_Referer"PoweredbySilverNews""id:350001,rev:1,severity:2,msg:'SilverNewsGoogleReconattempt'"SecFilterSelectiveHTTP_Referer"Pow-ered.
*PHPBB.
*2\.
0\.
\inurl\:""id:350002,rev:1,severity:2,msg:'PHPBB2.
0GoogleReconat-tempt'"SecFilterSelectiveHTTP_Referer"PHPFreeNewsin-url\:Admin\.
php""id:350003,rev:1,severity:2,msg:'PHPFreeNewsGoogleReconattempt'"SecFilterSelectiveHTTP_Referer"inurl.
*/cgi-bin/query""id:350004,rev:1,severity:2,msg:'/cgi-bin/gueryGoogleReconattempt'"SecFilterSelectiveHTTP_Referer"inurl.
*tiki-edit_submission\.
php""id:350005,rev:1,severity:2,msg:'tiki-editGoogleReconat-tempt'"SecFilterSelectiveHTTP_Referer"inurl.
*wps_shop\.
cgi""id:350006,rev:1,severity:2,msg:'wps_shop.
cgiGoogleReconattempt'"SecFilterSelectiveHTTP_Referer"in-url.
*edit_blog\.
php.
*filetype\:php""id:350007,rev:1,severity:2,msg:'edit_blog.
phpGoogleReconattempt'"SecFilterSelectiveHTTP_Referer"in-url.
*passwd.
txt.
*wwwboard.
*webadmin""id:350008,rev:1,severity:2,msg:'passwd.
txtGoogleReconattempt'"Anhang136Abbildung27:SuchmaschinenanfragensperrenmittelsModSecurity-Regeln(eineAuswahl)SecFilterSelectiveHTTP_Referer"inurl.
*admin\.
mdb""id:350008,rev:1,severity:2,msg:'admin.
mdbGoogleReconat-tempt'"SecFilterSelectiveHTTP_Referer"filetype:sql\x28\x22passwdvalues.
*passwordvalues.
*passvalues"SecFilterSelectiveHTTP_Referer"file-type.
*blt.
*buddylist"SecFilterSelectiveHTTP_Referer"FileUploadManagerv1\.
3.
*renameto"SecFilterSelectiveHTTP_Referer"filetype\x3AphpHAX-PLORER.
*ServerFilesBrowser"SecFilterSelectiveHTTP_Referer"inurl.
*passlist\.
txt"SecFilterSelectiveHTTP_Referer"wwwboardWebAdminin-url\x3Apasswd\.
txtwwwboard\x7Cwebadmin"SecFilterSelectiveHTTP_Referer"Enterip.
*inurl\x3A\x22php-ping\.
php\x22"AnhangB–ApacheResponseCodes137AnhangB–ApacheResponseCodesSuccessfulClientRequests:200OK(DieAnforderungdesClientswarerfolgreich)201Created(Erstellt)202Accepted(Akzeptiert)203Non-AuthorativeInformation(NichtautorisierteInformation)204NoContent(KeinInhalt)205ResetContent(Inhaltzurücksetzen)206PartialContent(Teilinhalt)ClientRequestRedirected:300MultipleChoices(hnlicheDokumentegefunden)301MovedPermanently(Permanentverschoben)302MovedTemporarily(Temporrverschoben)303SeeOther(URLanandererStellezuerreichen)304NotModified(Nichtgendert)305UseProxy(Proxybenutzen)ClientRequestErrors:400BadRequest(UngültigeAnforderung)401AuthorizationRequired(Anmeldungerforderlich)402PaymentRequired(notusedyet)(Bezahlungerforderlich–nochnichtgenutzt)403Forbidden(Unzulssig)404NotFound(Nichtgefunden)405MethodNotAllowed(Methodenichterlaubt)406NotAcceptable(encoding)(Anforderungnichtakzeptiert)407ProxyAuthenticationRequired(AnmeldungamProxyerforderlich)408RequestTimedOut(Anforderungabgelaufen)Anhang138409ConflictingRequest(WidersprüchlicheAnforderung)410Gone(AngeforderteRessourcenichtmehrverfügbar)411ContentLengthRequired(Datenwerdennichtgesendet,bevorsieeineAngabezurLngeenthalten)412PreconditionFailed(Vorbedingungfehlgeschlagen)413RequestEntityTooLong(Anforderungseinheitistzugro)414RequestURITooLong(Anforderungs-URIistzulang)415UnsupportedMediaType(NichtunterstützterMedientyp)ServerErrors:500InternalServerError(InternerServer-Fehler)501NotImplemented(Headerwertenichtimplementiert)502BadGateway(FehlerwurdevomzwischengeschaltetenProxybzw.
Gatewayerkannt)503ServiceUnavailable(Servicenichterreichbar)504GatewayTimeout(ZeitüberschreitungbeimGateway)505HTTPVersionNotSupported(HTTP-Versionwirdnichtunterstützt)AnhangC–IISResponseCodes139AnhangC–IISResponseCodes1xx-Informational(Informationen)100-Continue(Fortfahren)101-Switchingprotocols(Protokollewerdengewechselt)2xx-Success(Erfolgreich)200-OKTherequesthassucceeded.
(DieAnforderungdesClientswarerfolgreich)201-Created(Erstellt)202-Accepted(Akzeptiert)203-Non-authoritativeinformation(NichtautorisierteInformation)204-Nocontent(KeinInhalt)205-Resetcontent(Inhaltzurücksetzen)206-Partialcontent(Teilinhalt)3xx-Redirection(Umleitung)302-Objectmoved(Objektverschoben)304-Notmodified(Nichtgendert)307-Temporaryredirect(TemporreUmleitung)4xx-ClientError(Clientfehler)400-Badrequest(UngültigeAnforderung)401-Accessdenied(Zugriffverweigert)401.
1-Logonfailed(Anmeldungfehlgeschlagen)401.
2-Logonfailedduetoserverconfiguration(AnmeldungaufgrundderServer-konfigurationfehlgeschlagen)401.
3-UnauthorizedduetoACLonresource(NichtautorisiertwegenACLaufRessource)401.
4-Authorizationfailedbyfilter(AutorisierungaufgrundvonFilterfehlge-schlagen)Anhang140401.
5-AuthorizationfailedbyISAPI/CGIapplication(AutorisierungaufgrundvonISAPI/CGI-Anwendungfehlgeschlagen)401.
7-AccessdeniedbyURLauthorizationpolicyontheWeb-Server(Zugriffauf-grundvonURL-AutorisierungsrichtlinieaufdemWeb-Serververweigert)403-Forbidden(Unzulssig)403.
1-Executeaccessforbidden(Ausführungszugriffverweigert)403.
2-Readaccessforbidden(Lesezugriffverweigert)403.
3-Writeaccessforbidden(Schreibzugriffverweigert)403.
4-SSLrequired(SSLerforderlich)403.
5-SSL128required(128-Bit-SSLerforderlich)403.
6-IPaddressrejected(IP-Adressezurückgewiesen)403.
7-Clientcertificaterequired(Clientzertifikaterforderlich)403.
8-Siteaccessdenied(ZugriffderSiteverweigert)403.
9-Toomanyusers(ZuvieleBenutzer)403.
10-Invalidconfiguration(UngültigeKonfiguration)403.
11-Passwordchange(Kennwortnderung)403.
12-Mapperdeniedaccess(ZugriffdurchMapperverweigert)403.
13-Clientcertificaterevoked(Clientzertifikatwiderrufen)403.
14-Directorylistingdenied(AuflistunginVerzeichnisverweigert)403.
15-ClientAccessLicensesexceeded(Clientzugriffslizenzenüberschritten)403.
16-Clientcertificateisuntrustedorinvalid(Clientzertifikatnichtvertrauens-würdigoderungültig)403.
17-Clientcertificatehasexpiredorisnotyetvalid(Clientzertifikatabgelaufenodernochnichtgültig)403.
18-CannotexecuterequestedURLinthecurrentapplicationpool(Angefor-derteURLkannimaktuellenAnwendungspoolnichtausgeführtwerden)403.
19-CannotexecuteCGIsfortheclientinthisapplicationpool(CGIsfürdenClientknnenindiesemAnwendungspoolnichtausgeführtwerden)403.
20-Passportlogonfailed(Passport-Anmeldungfehlgeschlagen)404-Notfound(Nichtgefunden)404.
0-(None)-Fileordirectorynotfound(DateioderVerzeichnisnichtgefunden)AnhangC–IISResponseCodes141404.
1-Websitenotaccessibleontherequestedport(KeinZugriffaufWebsiteaufangefordertemPort)404.
2-Webserviceextensionlockdownpolicypreventsthisrequest(AnforderungwirddurchLockdown-RichtliniederWebdiensterweiterungverhindert)404.
3-MIMEmappolicypreventsthisrequest(AnforderungwirddurchMIME-Verzeichnisrichtlinieverhindert)405-HTTPverbusedtoaccessthispageisnotallowed(methodnotallowed)(FürZugriffaufdieseSeiteverwendetesHTTP-Verbistnichtzulssig,Methodeunzu-lssig)406-ClientbrowserdoesnotaccepttheMIMEtypeoftherequestedpage(Client-browserakzeptiertdenMIME-TypderangefordertenSeitenicht)407-Proxyauthenticationrequired(Proxyauthentifizierungerforderlich)412-Preconditionfailed(Vorbedingungfehlgeschlagen)413-Requestentitytoolarge(Anforderungseinheitistzugro)414-Request-URItoolong(Anforderungs-URIistzulang)415-Unsupportedmediatype(NichtunterstützterMedientyp)416-Requestedrangenotsatisfiable(AngeforderterBereichkannnichterfülltwerden)417-Executionfailed(Ausführungfehlgeschlagen)423-Lockederror(FehlerdurchSperre)5xx-ServerError(Serverfehler)500-Internalservererror(InternerServerfehler)500.
12-ApplicationisbusyrestartingontheWeb-Server(Anwendungwirdgera-deaufdemWeb-Serverneugestartet)500.
13-Web-Serveristoobusy(Web-Serveristausgelastet)500.
15-DirectrequestsforGlobal.
asaarenotallowed(DirekteAnforderungenfür"Global.
asa"nichtzulssig)500.
16-UNCauthorizationcredentialsincorrect(UNC-Anmeldeinformationenunkorrekt)500.
18-URLauthorizationstorecannotbeopened(URL-Autorisierungsspeicherkannnichtgeffnetwerden)Anhang142500.
100-InternalASPerror(InternerASP-Fehler)501-Headervaluesspecifyaconfigurationthatisnotimplemented(HeaderwertegebennichtimplementierteKonfigurationan)502-Web-Serverreceivedaninvalidresponsewhileactingasagatewayorproxy(DerWeb-Serverhat,whrenderalsGatewayoderProxyserverfungierte,eineungültigeAntwortempfangen)502.
1-CGIapplicationtimeout(ZeitüberschreitungderCGI-Anwendung)502.
2-ErrorinCGIapplication(FehlerinCGI-Anwendung)503-Serviceunavailable(Dienstnichtverfügbar)504-Gatewaytimeout(ZeitüberschreitungdesGateways)505-HTTPversionnotsupported(HTTP-Versionwirdnichtunterstützt)(Vergleichedazuauch[/26/])AnhangD–Beispielcodebindshell.
c143AnhangD–Beispielcodebindshell.
c/*bindshell.
c*/#definePORT1352#include#include#include#include#includeintsoc_des,soc_cli,soc_rc,soc_len,server_pid,cli_pid;structsockaddr_inserv_addr;structsockaddr_inclient_addr;intmain(intargc,char*argv[]){inti;for(i=0;i;(letzteAn-sichtJanuar2004)[/3/]IndustrieundHandelskammerLüneburg-Wolfsburg;"b-onlineAuftaktver-anstaltung2004IT-SicherheitimMittelstand-eineManagement-Aufgabe";;(letzteAnsichtMrz2004)[/4/]Informationweek;RSA-Konferenz:MehrGeldfürKaffeealsfürSicherheit";;(letzteAnsichtMrz2004)[/5/]HEISE(2003),Newsletter-Dienst(August2003)MicrosoftWebsitedurchDoS-Angrifflahmgelegt,,(letzteAnsichtAugust2003)[/6/]SYSTEMS(2003),Newsletter-Dienst(Juli2003)13,7ProzentmehrInternet-Attacken,,(letzteAnsichtJuli2003)[/7/]HEISE(2003),Newsletter-Dienst(August2003)DarkAgeofCamelotOpfervonComputervandalismus,(letzteAnsichtAugust2003)Quellenverzeichnis146[ABENDBLATT04]HamburgerAbendblatt(Februar2004);"Technik";Ausgabevom2.
02.
2004[KYAS/CAMPO00]Kyas,OthmarundCampo,aMarkus(2000,3.
Auflage);"IT-Crackdown–SicherheitimInternet";MITPVerlag[/8/]Golem(Januar2007),ApacheringtMicrosoftwiederMarktanteileab,http://www.
golem.
de/0607/46405.
html,(letzteAnsichtJanuar2007)[/9/]Sysinternals(2006),http://www.
sysinternals.
com(letzteAnsichtFebruar2007)[/10/]Microsoft(2006),WindowsApplicationCompatibility,http://www.
microsoft.
com/technet/prodtechnol/windows/appcompatibility/default.
mspx(letzteAnsichtFebruar2007)[/11/]VNUNetwork(23.
Januar2006),UScyber-crimedamagepeggedat$67bn,http://www.
vnunet.
com/2148960(letzteAnsichtFebruar2007)[/12/]Microsoft(2006),MicrosoftTechnicalSecurityNotifications,http://www.
microsoft.
com/technet/security/bulletin/notify.
mspx(letzteAnsichtDezember2006)[/13/]Microsoft(2006),MicrosoftwarntvorgeflschtenSicherheits-E-Mailshttp://www.
microsoft.
com/germany/technet/sicherheit/bulletins/bogusmails.
mspx(letzteAnsichtFebruar2007)[/14/]Securityfocus(2006),MailingLists,http://www.
securityfocus.
com/archive[/15/]Microsoft(2006),SoftwareUpdateServices(SUS),http://www.
microsoft.
com/technet/security/prodtech/SUS.
mspx(letzteAnsichtFebruar2007)Quellenverzeichnis147[/16/]SANSInternetStormCenter(2006),http://isc.
sans.
org/(letzteAnsichtJanuar2007)[/17/]ApacheMailingliste(2006),http://www.
apache.
org/foundation/mailinglists.
html(letzteAnsichtDezember2006)[/18/]Microsoft,(2006),WindowsServer2003-Sicherheitshandbuch,http://www.
microsoft.
com/germany/technet/datenbank/articles/900124.
mspx(letz-teAnsichtFebruar2007)[/19/]Microsoft(2006),IIS-Statuscodes,http://suport.
microsoft.
com/scid=kb;de;318380&spid=2097&sid=216(letzteAn-sichtMrz2007)[/20/]Mitnick,KevinD.
;Simon,WilliamL.
;DieKunstderTuschung(2003);Mitp-Verlag[/21/]Microsoft(2003),MicrosoftSecurityBulletinMS03-026"BufferOverrunInRPCInterfaceCouldAllowCodeExecution(823980)";http://www.
microsoft.
com/technet/security/bulletin/MS03-026.
mspx(letzteAn-sichtApril2007)[/22/]Heise(Juli2006),Newsletter-Dienst(Microsoft-UpdatefürIISinstalliertsichnichtimmerkorrekt)http://www.
heise.
de/newsticker/meldung/75647(letzteAn-sichtAugust2006)[/23/]Tecchannel(2007),Netzwerk-berwachungmitSnort;http://www.
tecchannel.
de/netzwerk/sicherheit/431413/index11.
html(letzteAn-sichtFebruar2007)[/24/]Microsoft,URLScanner,http://www.
microsoft.
com/germany/technet/sicherheit/tools/urlscan.
mspxQuellenverzeichnis148[/25/]Microsoft,LockdownWizard,http://www.
microsoft.
com/germany/technet/datenbank/articles/600187.
mspx(letz-teAnsichtFebruar2007)[/26/]Microsoft,IIS-Statuscodes(2004),http://support.
microsoft.
com/kb/318380(letzteAnsichtFebruar2007)[/27/]Securityfocus,XML-RPCforPHPRemoteCodeInjectionVulnerability(2007),http://www.
securityfocus.
com/bid/14088/exploit(letzteAnsichtMrz2007)[/28/]Portsentry/Logsentry;http://sourceforge.
net/projects/sentrytools/[/29/]Wikipedia–Forensik;http://www.
de.
wikipedia.
org(letzteAnsichtJanuar2007)[/30/]Frei,Patrick–WebalizerXTENDED;http://www.
patrickfrei.
ch/webalizer/(letzteAnsichtMrz2007)[/31/]Webalizer;TheWebalizer–WhatisyourWebdoingtoday;http://www.
webalizer.
com/(letzteAnsichtMrz2007)[/32/]Geschonneck,Alexander;"Computer-Forensik.
Systemeinbrücheerkennen,ermitteln,aufklren"(Auflage:2.
,aktualis.
A.
(Januar2006);DpunktVerlag[/33/]Heise(2007),,NewsletterDienst(4.
10.
2007,ZehntausendeKartenhaus-KundenvonKreditkartendaten-Diebstahlbetroffen",http://www.
heise.
de/security/news/meldung/96953/Zehntausende-Kartenhaus-Kunden-von-Kreditkartendaten-Diebstahl-betroffen,(letzteAnsicht8.
10.
2007)[/34/]Heise(2008),NewsletterDienst(09.
01.
2008),"WiedergroangelegteAngriffeaufWeb-AnwenderimGange",http://www.
heise.
de/security/news/meldung/91345,(letzteAnsicht08.
02.
2008)149SachwortverzeichnisAActiveServerPagesSieheASPAngriffaktiverAngriff33passiverAngriff33Angriffsmethoden34Apache59ApacheResponseCodes137Applicationpools76ArchitekturApache2.
062IIS6.
075ASP26AuditsSoftwareAudit26Authentizitt33BBackOrificeSieheTrojanerBackgroundIntelligentTransferService76BackgroundIntelligentTransferServiceBITS76BannerServersignatur52bindshell93BITSSieheBackgroundIntelligentTransferServiceBufferOverflow34CChaosComputerClubsVII,4Cold-Fusion50CONNECTSieheZugriffsmethodenconvert101DDDosVIII,4DDoS8Debian31DELETESieheZugriffsmethodenDerInternetInformationService75DoS89Denial-of-Service-Attacke9DoS-Angriffe(Denial-of-Service)9EEtherealSieheSnifferFFilemon78Footprinting51forkingSiehePreforkingModellSachwortverzeichnis150GGETSieheZugriffsmethodenGoogle45,48,50HHacker9Cracker31Cyberpunk31Lokation32Motivation32Verhalten32HEADSieheZugriffsmethodenHeaderCheck53htaccess67IICMP51IDSModSecurity48SNORT48IISResponseCodes139indexof50Informationsbeschaffung45Integritt33InternetInformationService53InternetInformationService(IIS)48InternetInformationServices83inurl50ISDN57KkonvertiertSieheconvertLLINKSieheZugriffsmethodenLockoutFunktion88Logcheck119,121LokaleSicherheitseinstellungen99MMicrosoftManagementConsoleSieheMMCMitnick,KevinD.
56MMC102mod_negotiation53Modem57ModSecurity113,SieheIDSMulti-Prozess61Multi-Thread61MultiViews54NNASAVII,4NetbusSieheTrojanerNetcatSieheTrojanerNMapSieheSnifferNMAP48OOPTIONSSieheZugriffsmethodenPPageXchanger53Penetrations-Tests39Portsentry119,122POSTSieheZugriffsmethodenSachwortverzeichnis151PreforkingModell60PUTSieheZugriffsmethodenRRegmon78ResponseCodes139RPC-DCOM89SSamSpade53SCOVII,4,45SecuritybyObscurity51SecurityLockdownWizard118Sicherheits-AuditSieheAuditSnap-InIIS100Sniffer33Ethereal33NMap33SNORTSieheIDSSocialEngineering56SperrenvonRemoteZugriffe107ScriptMappings100SpoofingAttackenSpoofRPC-Spoofing-Attacke34Spoofing-Attacken34TTRACESieheZugriffsmethodenTrojanern36Type-Maps54UübergeordnetenPfade102UNLINKSieheZugriffsmethodenURLScanner117VVertraulichkeit33VirusBlaster-Virus8ILoveYouVirus8MyDoom8WWebalizer120WebalizerXTENDED120Webmin60WLAN57WorkerProcessIsolationMode75WorkerProcessIsolationModeWPIM75WurmSobig-Wurm8ZZugriffsberechtigung78Zugriffsmethoden19ZugriffsrechteDocumentroot101