[John Smith]

Nu on siin internet eramajade vahel jagatud. Täna pistis järsku Norton kisama, et: A computer with the IP address 127.0.0.1 sent information that is characteristic of the HTTP_ActivePerl_Overflow attack.

Ei jaga sellest jamast eriti palju, aga see nagu ei tohiks olla tavalise masina IP mis võrgus on??
Ja mis asi see üldse oli mis mulle paar korda ligi tikkus??

[Supiplex]

127.0.0.1 on loopback interface ehk sinu enda masina aadress.

Samas, teoreetiliselt võib see aadress ka spoofitud olla.

Millega tegemist on:
http://securityresponse.symantec.com/avcenter/nis_ids/sigs/http_activeperl_overflow.html

[FoxMulder]

Minuteada ei tohiks ükski masin loopback aadressiga paketti edasi ruutida või mis?!?

[Supiplex]

Kes see ruutimise juures source aadressi ikka vaatab.

Samas - see loopback source võiks miski sanity check-i juures sõelale jääda. Ehh, mina kah ei tea.

[FoxMulder]

http://www.ietf.org/rfc/rfc1812.txt

[Supiplex]

Väga tore iseenesest. /me jälle jupi targem.

[Deep Fury]

Yap tegemist on turvaproblemigaa, kuna keegi ilmselt LANis tegeleb IPde spoofimisega.

ActivePerliga võib aga ei pruugi üldse seost olla:
"Older versions of ActivePerl on Windows have a buffer overflow vulnerability. An attacker can exploit this vulnerability to execute arbitrary code at the privilege level of the Web server process. This signature detects attempts to exploit the ActivePerl vulnerability through HTTP."

[FoxMulder]

[PontuLontu]

[FoxMulder]

[John Smith]

tore, et nii palju vastuseid, aga keegi võiks selle nüüd eesti keeles ka ära seletada, et mis see siis ikka oli

[Supiplex]

[studiosus]

Tõstan vana teema, mis küll otseselt sellega ei seondu, aga siiski...

Ühesõnaga mõned ilmingud on andnud kahtlust, et keegi võib minu internetiühendus pealt kuulata (ei, tegemist ei ole torrentite piiramise vmt). Tegemist siis korterelamu ühise võrguga, mille taga on ca 20 korterit. Ruuterile endale ligipääsu ei ole, enda ühenduse (kaabli) otsas on isiklik wifi-ruuter.

Kas teoreetiliselt on kuidagi võimalik kindlaks teha, kas keegi nö väljaminevat liiklust jälgib - võimalik, et asi toimub episoodiliselt. Paranoiast on asi siiski kaugel

[Betamax]

Ühine võrk + fakt, et kasutad WiFit = täiesti võimalik.
Aga küsiks, mis põhjustel sa kahtlustad seda?

[studiosus]

[HacaX]

Proxyühenduse paremini turvamine (ehk on ka mõni mõistlikum autentimisskeem võimalik), VPN läbi mõne teise masina või krüptiva võrgu. Viimase puhul on küll kitsaskohaks sobiva masina mis ka normaalset linki pakub leidmine, avalike turvatud võrkude a'la Jap või Tor korral ka võrguoperaatorite võimalik nuhkimine (mis on selle võrra lihtsam et neid on piiratud hulk).

[studiosus]

[HacaX]

Põhimõtteliselt küll. Peamist nuhkimist saavad teha väljundlüli (exit point) jooksutajad. Aga selles peitub ka probleem: neid on piiratud hulgal ja seetõttu on lihtsam mõne nende hulka kuuluja poolne nuhkimine (a'la mõni su kõrvalmajanaaber paneb serveri püsti ning piisavate resurrside korral saavutab olukorra, kus sa oma plaintext parooli just tema masina kaudu laia maailma saadad).
Stabiilsema kasutuse jaoks kipub Tor võrk ka liialt aeglane olema.

[sukelduja]

95% tõenäosusega on tegemist Nortoni ülereageerimisega.

[note1]

netstat -s
vahest näitab ära, mis juhtus

arp -a
millega oled ühenduses

/var/log/kern.log
/var/log/messages
/var/log/auth.log

masin jätab kõigist protsessidest alles logi- ka kuupäevaliselt.

torid ja ssl proxyd pole mitte kõige turvalisemad.

[erik]

kui ruuteri ja dsl/kaabel modemi vahele panna hub siis saabki kõik su plain textid kätte

[note1]