Discussioni sulla computer security
 

Microsoft? Tanto per risvegliare il gruppo, da tempo assopito...

BIG (Umberto) 6 Feb 2016 14:34
Guardando tra il log del server...

70.37.165.214 - - [06/Feb/2016:00:03:33 +0000] "-" 400 0 "-" "-"
70.37.165.214 - - [06/Feb/2016:00:03:34 +0000] "GET /cgi-bin/test-cgi
HTTP/1.1" 404 175 "-" "the beast"
70.37.165.214 - - [06/Feb/2016:00:37:56 +0000] "-" 400 0 "-" "-"
70.37.165.214 - - [06/Feb/2016:00:37:57 +0000] "GET /cgi-bin/test
HTTP/1.1" 404 175 "-" "the beast"
70.37.165.214 - - [06/Feb/2016:01:12:18 +0000] "-" 400 0 "-" "-"
70.37.165.214 - - [06/Feb/2016:01:12:18 +0000] "GET /cgi-bin/test.cgi
HTTP/1.1" 404 175 "-" "the beast"


whois 70.37.165.214

NetRange: 70.37.0.0 - 70.37.191.255
CIDR: 70.37.0.0/17, 70.37.128.0/18
NetName: MICROSOFT
NetHandle: NET-70-37-0-0-1
Parent: NET70 (NET-70-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS8075
Organization: Microsoft Corporation (MSFT)
RegDate: 2008-09-10
Updated: 2013-08-23
Ref: http://whois.arin.net/rest/net/NET-70-37-0-0-1

OrgName: Microsoft Corporation
OrgId: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
RegDate: 1998-07-10
Updated: 2015-10-28

Ci provano? Qualche ammalato ?
??????????
edevils 7 Feb 2016 23:43
On 06-Feb-16 14:34, BIG (Umberto) wrote:
> Guardando tra il log del server...

[...]

> 70.37.165.214 - - [06/Feb/2016:01:12:18 +0000] "GET /cgi-bin/test.cgi
> HTTP/1.1" 404 175 "-" "the beast"
>
>
> whois 70.37.165.214
>
> NetRange: 70.37.0.0 - 70.37.191.255
> CIDR: 70.37.0.0/17, 70.37.128.0/18
> NetName: MICROSOFT

[...]


IP spoofing, I suppose.

https://social.technet.microsoft.com/Forums/systemcenter/en-US/2ec73c74-c4d1-40a9-b5cd-eef9f2783021/my-microsoft-account-was-accessed-by-a-microsoft-ip-can-you-explain-please
Leonardo Serni 8 Feb 2016 01:10
On Sun, 7 Feb 2016 23:43:57 +0100, edevils <use_replyto_address@devils.com>
wrote:

>> 70.37.165.214 - - [06/Feb/2016:01:12:18 +0000] "GET /cgi-bin/test.cgi
>> HTTP/1.1" 404 175 "-" "the beast"

>> whois 70.37.165.214
>>
>> NetRange: 70.37.0.0 - 70.37.191.255
>> CIDR: 70.37.0.0/17, 70.37.128.0/18
>> NetName: MICROSOFT

>IP spoofing, I suppose.

>https://social.technet.microsoft.com/Forums/systemcenter/en-US/2ec73c74-c4d1-40a9-b5cd-eef9f2783021/my-microsoft-account-was-accessed-by-a-microsoft-ip-can-you-explain-please

Capisco che Roger Lu abbia l'interesse a dire "non viene da Microsoft": ma
nell'anno di grazia
2016, l'IP spoofing è sì possibile...

...ma quello là sopra dovrebbe essere un *TCP* spoofing, e c'è tutto un mondo
di differenza, e
m'aspetterei che al 'Microsoft contingent staff' lo sappiano.

Per finire nei log di Apache con tanto di user-agent, serve una catena di router
taroccati e/o
programmati da bestia (anzi: ripensandoci, non basta. Devono proprio essere
stati aperti TUTTI
come delle cozze).

No, temo proprio che in Microsoft abbiano un po' di camole e bacarozzi da
eliminare.

Leonardo

--

Now suppose -just suppose- I could show you a way to
manufacture a wall that would do the same ******* .. but
was only one inch thick.
BIG (Umberto) 8 Feb 2016 12:11
edevils ha spiegato il 07/02/2016 :
> On 06-Feb-16 14:34, BIG (Umberto) wrote:
>> Guardando tra il log del server...

> [...]

>> 70.37.165.214 - - [06/Feb/2016:01:12:18 +0000] "GET /cgi-bin/test.cgi
>> HTTP/1.1" 404 175 "-" "the beast"
>>
>>
>> whois 70.37.165.214
>>
>> NetRange: 70.37.0.0 - 70.37.191.255
>> CIDR: 70.37.0.0/17, 70.37.128.0/18
>> NetName: MICROSOFT

> [...]


> IP spoofing, I suppose.

E' infatti la prima cosa che ho pensato, ma a che pro un GET ?
Se fai un GET da un ip, la risposta va a quel ip, non a te che lo hai
generato farlocco.
Potrei capire un PUT...
BIG (Umberto) 8 Feb 2016 12:44
Scriveva Leonardo Serni lunedì, 08/02/2016:
> On Sun, 7 Feb 2016 23:43:57 +0100, edevils <use_replyto_address@devils.com>
> wrote:

>>> 70.37.165.214 - - [06/Feb/2016:01:12:18 +0000] "GET /cgi-bin/test.cgi
>>> HTTP/1.1" 404 175 "-" "the beast"

>>> whois 70.37.165.214
>>>
>>> NetRange: 70.37.0.0 - 70.37.191.255
>>> CIDR: 70.37.0.0/17, 70.37.128.0/18
>>> NetName: MICROSOFT

>> IP spoofing, I suppose.

> Per finire nei log di Apache con tanto di user-agent, serve una catena di
> router taroccati e/o programmati da bestia (anzi: ripensandoci, non basta.
> Devono proprio essere stati aperti TUTTI come delle cozze).

> No, temo proprio che in Microsoft abbiano un po' di camole e bacarozzi da
> eliminare.

Non è Apache, ma non cambia.
A meno che lo scopo fosse di spoofare la MS, per far perdere
credibilità o tracciare il proprietario del sito web per... boo!
O per qualche ricerca statistica interna.
Alcune cose sono certe.
Il sito web non è rintracciabile con google.
Ha un ip dinamico.
Non usa php o mysql.
Lo visito solo io, e mi serve solo come appoggio per avere un dominio
ed accedere da remoto.

E gurdando tra i log del router, ci ha dato parecchio.
Tutti sulla mia porta 80. Non ha fatto tentativi su altre porte.
Non tutti sono passati come richieste valide e loggate dal webserver.
A meno che, tra i pacchetti inviati e non loggati dal webserver, ci
fosse qualche tentativo di exploit, che non è passato (sgrat).
Feb 5 23:48:29 TCP Packet - Source:70.37.165.214,1096
Feb 6 00:03:33 TCP Packet - Source:70.37.165.214,1024
Feb 6 00:03:33 TCP Packet - Source:70.37.165.214,1025
Feb 6 00:37:56 TCP Packet - Source:70.37.165.214,6368
Feb 6 00:37:57 TCP Packet - Source:70.37.165.214,1136
Feb 6 01:12:18 TCP Packet - Source:70.37.165.214,1072
Feb 6 01:12:18 TCP Packet - Source:70.37.165.214,1073
Feb 6 01:46:22 TCP Packet - Source:70.37.165.214,6368
Feb 6 01:46:23 TCP Packet - Source:70.37.165.214,6664
Feb 6 01:46:29 TCP Packet - Source:70.37.165.214,1024
Feb 6 02:21:50 TCP Packet - Source:70.37.165.214,1064
Feb 6 02:21:53 TCP Packet - Source:70.37.165.214,1136
Feb 6 02:21:57 TCP Packet - Source:70.37.165.214,1064
Feb 6 02:59:10 TCP Packet - Source:70.37.165.214,1040
Feb 6 02:59:13 TCP Packet - Source:70.37.165.214,1096
Feb 6 02:59:17 TCP Packet - Source:70.37.165.214,6640
Feb 6 03:37:51 TCP Packet - Source:70.37.165.214,1168
Feb 6 03:37:58 TCP Packet - Source:70.37.165.214,1176
Feb 6 03:38:06 TCP Packet - Source:70.37.165.214,1144
Feb 6 04:17:04 TCP Packet - Source:70.37.165.214,1096
Feb 6 04:17:11 TCP Packet - Source:70.37.165.214,6664
Feb 6 04:57:14 TCP Packet - Source:70.37.165.214,1096
Feb 6 04:57:21 TCP Packet - Source:70.37.165.214,6328
Feb 6 04:57:29 TCP Packet - Source:70.37.165.214,1144
Feb 6 05:37:46 TCP Packet - Source:70.37.165.214,6328
Feb 6 05:37:47 TCP Packet - Source:70.37.165.214,1040
Feb 6 06:18:32 TCP Packet - Source:70.37.165.214,6368
Feb 6 06:18:33 TCP Packet - Source:70.37.165.214,1024
Feb 6 06:18:35 TCP Packet - Source:70.37.165.214,1176
Feb 6 06:18:39 TCP Packet - Source:70.37.165.214,6368
Feb 6 06:18:47 TCP Packet - Source:70.37.165.214,1088
Leonardo Serni 9 Feb 2016 01:32
On Mon, 08 Feb 2016 12:11:53 +0100, BIG (Umberto) <nomail@nospam.invalid> wrote:

>> IP spoofing, I suppose.
>
>E' infatti la prima cosa che ho pensato, ma a che pro un GET ?
>Se fai un GET da un ip, la risposta va a quel ip, non a te che lo hai
>generato farlocco.
>Potrei capire un PUT...

Uh, no. Non ci si arriva neanche: né al GET, né al PUT.

Il nostro amico ip-spoofer invia per prima cosa un SYN, che si porta dietro un
sequence number random (CSN) di cui non ci importa granché, visto che protegge
il client e nojaltri tifiamo per il server.

Il server risponde all'IP sorgente inviando un sequence number random (SSN) ed
una conferma CSN+1 in un pacchetto ACK.

Il nostro amico ip-spoofer ora deve inviare un ACK contenente SSN+1. Ma, visto
che il pacchetto col SSN è finito a casa du ghiavulu, l'SSN non ce l'ha, e per
indovinare un numero random a 32 bit c'ha da cammina' roccia.

Sicché al server un ACK valido non arriverà mai, e la connessione non sarà
mai
stabilita (nel caso usi SYN cookies, non sarà mai neppure creata).

Nota: l'IP sorgente, che un SYN non l'aveva mai inviato, magari non arispunne,
o magari risponde al server con un RST ("*****ovuoi?" in serverese). Il server,
sentendosi così apostrofato, prende la struttura della connessione, la strappa
in pezzettini piccoli piccoli e poi ci sputa sopra. Se usa SYN cookies, non fa
niente perché non c'è ancora niente da strappare.

Siccome per mandare la GET ci vuole una connessione stabilita, il nostro bravo
IP spoofer vede i suoi ambiziosi progetti naufragare subito prima della "G", e
non ci sono molti modi pratici per riuscire a farli galleggiare.

(Il più pratico è quello di prendere il controllo del routing, in un punto
più
vicino possibile al server vittima. A quel punto posso creare una sorta di VPN
con SNAT e fare apparire alla vittima che arrivo da dove mi pare... la vittima
invierà i pacchetti destinati a casa del ghiavulu al router, che però li manda
a me, così io li riceverò e potrò rispondere. Problemino: va *****erato,
almeno
almeno, il modem ADSL della vittima. Intendiamoci - se è uno di alcuni modelli
che mi vengono in mente e non patchato, si fa in cinque minuti, di cui quattro
per sorbirsi un buon caffè. Ma nel 2016 e in condizioni ragionevoli tenderei a
dire "Ma anche no").

Leonardo

--

Now suppose -just suppose- I could show you a way to
manufacture a wall that would do the same ******* .. but
was only one inch thick.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sulla computer security | Tutti i gruppi | it.comp.sicurezza.varie | Notizie e discussioni sicurezza varie | Sicurezza varie Mobile | Servizio di consultazione news.