Kako se moze tuziti logosoft?

Bo · July 27, 2006, 5:49pm

saltam ja tako nes po game.telrad.net folderu .
kad odjednom welli nema vise mjesta na hdd-u
pogledam 100% zauzeto

obrisem par velikih stvari
df 98 % ok… vratim se poslu
kad opet vice hdd full
i hladno se puni hdd u roku par milisekundi
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/hda3 76454752 71645336 925704 99% /
/dev/hda1 256666 74390 169024 31% /boot
none 517180 0 517180 0% /dev/shm
[eddie@temp game]$ df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/hda3 76454752 71653248 917792 99% /
/

netstat -autn
kad hladno lik sa logosoftovog hosting compa salta po desetim portovima sa svog porta 80…

nmap 217.75.192.40 -sV

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2006-07-27 18:59 CEST
Interesting ports on hosting-srv-01.lol.ba (217.75.192.40):
(The 1652 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE VERSION
21/tcp open ftp Microsoft ftpd
25/tcp open smtp
80/tcp open http Microsoft IIS webserver 6.0
110/tcp open pop3 MailEnable POP3 Server
143/tcp open imap?
443/tcp open https?
1433/tcp open ms-sql-s?
8443/tcp open https-alt?
3 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port25-TCP:V=3.70%D=7/27%Time=44C8F130%P=i686-redhat-linux-gnu%r(NULL,5
SF:A,“220\x20hosting.lol.ba\x20ESMTP\x20MailEnable\x20Service,\x20Versio
SF:n:\x200-2.11-\x20ready\x20at\x2007/27/06\x2019:01:32\r\n”)%r(Help,A7,"
SF:220\x20hosting.lol.ba\x20ESMTP\x20MailEnable\x20Service,\x20Version:
SF:x200-2.11-\x20ready\x20at\x2007/27/06\x2019:01:32\r\n211\x20Help:->Sup
SF:ported\x20Commands:\x20HELO,EHLO,QUIT,HELP,RCPT,MAIL,DATA,RSET,NOOP\r\n
SF:“);
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port143-TCP:V=3.70%D=7/27%Time=44C8F130%P=i686-redhat-linux-gnu%r(NULL,
SF:33,”*\x20OK\x20IMAP4rev1\x20server\x20ready\x20at\x2007/27/06\x2019:01
SF::32\x20\r\n")%r(GetRequest,64,“*\x20OK\x20IMAP4rev1\x20server\x20ready
SF:\x20at\x2007/27/06\x2019:01:32\x20\r\nGET\x20BAD\x20UNKNOWN\x20Command
SF:r\n\r\n\x20BAD\x20UNKNOWN\x20Command\r\n”)%r(GenericLines,63,“*\x20OK
SF:x20IMAP4rev1\x20server\x20ready\x20at\x2007/27/06\x2019:01:42\x20\r\n\r
SF:\n\x20BAD\x20UNKNOWN\x20Command\r\n\r\n\x20BAD\x20UNKNOWN\x20Command\r
SF:n”)%r(HTTPOptions,68,“*\x20OK\x20IMAP4rev1\x20server\x20ready\x20at\x2
SF:007/27/06\x2019:01:47\x20\r\nOPTIONS\x20BAD\x20UNKNOWN\x20Command\r\n\r
SF:\n\x20BAD\x20UNKNOWN\x20Command\r\n”)%r(RTSPRequest,68,“*\x20OK\x20IMA
SF:P4rev1\x20server\x20ready\x20at\x2007/27/06\x2019:01:52\x20\r\nOPTIONS
SF:x20BAD\x20UNKNOWN\x20Command\r\n\r\n\x20BAD\x20UNKNOWN\x20Command\r\n”)
SF:%r(RPCCheck,33,“*\x20OK\x20IMAP4rev1\x20server\x20ready\x20at\x2007/27
SF:/06\x2019:01:57\x20\r\n”)%r(DNSVersionBindReq,33,“*\x20OK\x20IMAP4rev1
SF:\x20server\x20ready\x20at\x2007/27/06\x2019:02:02\x20\r\n”)%r(DNSStatus
SF:Request,33,“*\x20OK\x20IMAP4rev1\x20server\x20ready\x20at\x2007/27/06
SF:x2019:02:07\x20\r\n”)%r(Help,4F,“*\x20OK\x20IMAP4rev1\x20server\x20rea
SF:dy\x20at\x2007/27/06\x2019:02:12\x20\r\nHELP\r\n\x20BAD\x20UNKNOWN\x20C
SF:ommand\r\n”)%r(SSLSessionReq,33,“*\x20OK\x20IMAP4rev1\x20server\x20rea
SF:dy\x20at\x2007/27/06\x2019:02:17\x20\r\n”)%r(SMBProgNeg,33,“*\x20OK\x2
SF:0IMAP4rev1\x20server\x20ready\x20at\x2007/27/06\x2019:02:22\x20\r\n”)%r
SF:(X11Probe,33,“*\x20OK\x20IMAP4rev1\x20server\x20ready\x20at\x2007/27/0
SF:6\x2019:02:28\x20\r\n”)%r(LPDString,33,“*\x20OK\x20IMAP4rev1\x20server
SF:\x20ready\x20at\x2007/27/06\x2019:02:33\x20\r\n”)%r(LDAPBindReq,33,“*
SF:x20OK\x20IMAP4rev1\x20server\x20ready\x20at\x2007/27/06\x2019:02:38\x20
SF:\r\n”)%r(LANDesk-RC,33,“*\x20OK\x20IMAP4rev1\x20server\x20ready\x20at
SF:x2007/27/06\x2019:02:43\x20\r\n”)%r(TerminalServer,33,“*\x20OK\x20IMAP
SF:4rev1\x20server\x20ready\x20at\x2007/27/06\x2019:02:48\x20\r\n”)%r(NCP,
SF:33,“*\x20OK\x20IMAP4rev1\x20server\x20ready\x20at\x2007/27/06\x2019:02
SF::53\x20\r\n”)%r(NotesRPC,33,“*\x20OK\x20IMAP4rev1\x20server\x20ready\x
SF:20at\x2007/27/06\x2019:02:58\x20\r\n”);
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port8443-TCP:V=3.70%D=7/27%Time=44C8F135%P=i686-redhat-linux-gnu%r(GetR
SF:equest,264,“<!DOCTYPE\x20HTML\x20PUBLIC\x20"-//IETF//DTD\x20HTML\x202
SF:.0//EN">\n\n400\x20Bad\x20Request\n<
SF:body>\n

Bad\x20Request

\n

Your\x20browser\x20sent\x20a\x20requ
SF:est\x20that\x20this\x20server\x20could\x20not\x20understand.<br\x20/>
SF:nReason:\x20You’re\x20speaking\x20plain\x20HTTP\x20to\x20an\x20SSL-enab
SF:led\x20server\x20port.<br\x20/>\nInstead\x20use\x20the\x20HTTPS\x20sch
SF:eme\x20to\x20access\x20this\x20URL,\x20please.<br\x20/>\n

H
SF:int:\x20<a\x20href="https://hosting-srv-01.lol.ba:8443/">https:/
SF:/hosting-srv-01.lol.ba:8443/

\n

\nApache/2.0.52\x20(Win32)\x20mod_ssl/2.0.46\x20OpenSSL/0.9.7b\x
SF:20PHP/4.3.4\x20Server\x20at\x20hosting-srv-01.lol.ba\x20Port\x20844
SF:3\n\n”)%r(SSLSessionReq,6D7,“\x16\x03\0\0*\x02
SF:\0\0&\x03\0D\xc8\xf1|\xabqz\xc1\xfe\x83t\x86Z\x1b\xe8\x90\xfa\xe17\x0c
SF:\x97\x04\xd9\xec\xb6\xc9\x12+"$\nn\0\0\x16\0\x16\x03\0\x04\x88\x0b\0
SF:\x04\x84\0\x04\x81\0\x04~0\x82\x04z0\x82\x03b\xa0\x03\x02\x01\x02\x02\x
SF:03\x10\x9d\x8a0\r\x06\t*\x86H\x86\xf7\r\x01\x01\x04\x05\x000\x81\x881
SF:x0b0\t\x06\x03U\x04\x06\x13\x02US1\x110\x0f\x06\x03U\x04\x08\x13\x08Vir
SF:ginia1\x100\x0e\x06\x03U\x04\x07\x13\x07Herndon1\x150\x13\x06\x03U\x04
SF:n\x13\x0cSWsoft,\x20Inc.1\x0e0\x0c\x06\x03U\x04\x0b\x13\x05Plesk1\x0e0
SF:\x0c\x06\x03U\x04\x03\x13\x05plesk1\x1d0\x1b\x06\t*\x86H\x86\xf7\r\x01
SF:\t\x01\x16\x0einfo@plesk.com0\x1e\x17\r051115104704Z\x17\r061115104704
SF:Z0\x81\x881\x0b0\t\x06\x03U\x04\x06\x13\x02US1\x110\x0f\x06\x03U\x04\x0
SF:8\x13\x08Virginia1\x100\x0e\x06\x03U\x04\x07\x13\x07Herndon1\x150\x13\x
SF:06\x03U\x04\n\x13\x0cSWsoft,\x20Inc.1\x0e0\x0c\x06\x03U\x04\x0b\x13\x0
SF:5Plesk1\x0e0\x0c\x06\x03U\x04\x03\x13\x05plesk1\x1d0\x1b\x06\t*\x86H\x
SF:86\xf7\r\x01\t\x01\x16\x0einfo@plesk.com0\x82\x01"0\r\x06\t*\x86H\x8
SF:6\xf7\r\x01\x01\x01\x05\0\x03\x82\x01\x0f\x000\x82\x01\n\x02\x82\x01\x0
SF:1\0\xdd\x8c\xba"\x99\xe3\xc8\xfc\x03u\x82\xf3&\xb1\x86Q\xcf\x86\xfa\xa
SF:e\xad\x8b/>'\xc48>\x8e\xd4"\xb6\xaf0\x14\xb3\xd8\x10\xd8\0\xbc\x95\xae
SF:\x0e\x01\xa2\xf9\xdd\xabT\x18W\x13\x04\xedJ\xc0\xaeqHR\xd2\xaf\x20\xa72
SF:\xf8\xa8-V\xd0\?w\xcf\xdaU\xe1\x06\xca\x1d\xba\xbe\x02\xdc;\x99\x8dl5
SF:\xc5\x88\xb3\xbe_\xdf\xfe\xa2\xfd\xb5\xc4?\0w\xfe\xc9\xf5"\xc2\xd1\xd
SF:dD\x05\xef\x12\xa1\xbb\xcfe\xc9F\xbd\xff\xbag\xd0AF,\x1c’y\x96\xe8(VJk
SF:5\xd1bJi9\xf3\xf6\xce\xf7\xb7\x9a>\xf4\x8f\xf6N86\xb9\xac\xcct"\xf4K\x
SF:b9\x1e\xe06#\xf5*)\xbaXk\xd5\x01\xb2\r=\x9d\x96*n\x0b\x84\x9dbb\x88
SF:x0b\xdb(\xba\x8eD\xf4n\xe6\xac\xac\xe0\xedXrg\xfd\x82%P\xea\xcb>K\xa2
SF:x1a7\xd8fl\xce\xb2\xff(RKF&\x12d\xc5,_qe\x83\x1c\xb6\x02\xff-\x18Q@\x9
SF:f\xa3Q\xf5\xf2\x8bB\0r\xd9\xdf\xf7\x02\x03\x01\0\x01\xa3\x81\xea0\x81\x
SF:e70\x1d\x06\x03U\x1d\x0e\x04\x16\x04\x14\xda\xa8\xf9*\xadO\xc7\x1eCm]
SF:\xa53@\x01;i9\x94d0\x81\xb7\x06\x03U\x1d#\x04\x81\xaf0\x81\xac\x80\x14
SF:xda\xa8\xf9*\xadO\xc7\x1eCm]\xa53@\x01;i9\x94d\xa1\x81\x8e\xa4\x81\x8
SF:b0\x81\x881\x0b0\t\x06\x03U\x04\x06\x13\x02US1\x110\x0f\x06\x03U\x04\x0
SF:8\x13\x08Virginia1\x100\x0e\x06\x03U\x04\x07\x13\x07Herndon1\x150\x13\x
SF:06\x03U\x04\n\x13\x0cSWsoft,\x20Inc.1\x0e0\x0c\x06\x03U\x04\x0b\x13\x0
SF:5Plesk1\x0e0\x0c\x06\x03U\x04\x03\x13\x05plesk1\x1d0\x1b\x06\t*\x86H\x
SF:86\xf7\r\x01\t”);

AbsintheSyringe · July 27, 2006, 7:15pm

Ovako nesto ide u drugu forum kao npr Sigurnost a ne ULK: Opsta diskusija.

A to, necu fakat komentirat.

Dinko_Metalac · July 27, 2006, 7:35pm

Huh, jadno je ovo. Stvarno jadno

Bo · July 28, 2006, 9:23am

Hvala na pomoci… mene bi bar zainteresovao ovaj specijalni nmap rezultat ako nista drugo…

adis · July 28, 2006, 11:12am

Kao prvo, nemaš sta tužiti logosoft, eventualno tog njihovog klijenta, jel ti neka šteta prouzrokovana?
Kao drugo, prijavi slučaj nekome u Logosoftu, bolje je i njima da znaju ako se worm uvalio na neku hosting mašinu. Btw, iste stvari se mogu dešavati i na Linux (LAMP) mašinama, obično je krivac neki loše napisani komad PHP koda, cmsovi/forumi/galerije i ine gluposti …

vedran · July 28, 2006, 7:20pm

Adise, čovjek reče da je skeniranje rađeno sa “logosoftovog hosting compa” (čitaj: servera, znači mašine koja je vlasništvo logosofta).
Osim toga, lično mislim da vlasnik kompjutera treba preuzeti odgovornost za sve što počinje s tog kompjutera, pa makar to bio i worm. Posebno ako je u pitanju profesionalac - firma.
Za konkretno pitanje o nmap logovima ne mogu pomoći…

adis · July 28, 2006, 10:45pm

Znam da je hosting mašina, ali hosting prostor se iznajmljuje trećima licima. Ne možeš nekad 24h dnevno nadgledati šta likovi uploaduju na svoj sajt/ftp. A iskreno sumnjam da ISP uopšte može biti tužen za takve stvari, common carrier status ili sl.?

RiNG · July 29, 2006, 2:19pm

da da isto se meni desava i na winu laptopu i na linuxu samo sreca da sam imo kaspersky ufatio sc i poslo im na mail i + im se nagovorio i od tog dana budel sta zakleo se odoh s lolnet-a adsl hir ej kam i bog’am vise nisu ni probavali … koji su oni k… da saltaju po kompjuteru narusavaju tudzu privatnost !

IceBreaker · July 29, 2006, 2:28pm

hm… ne kontam… sken radjen SA hosting mashine… okay… u cem je problem? prevelikom iskoristenju prostora ili what? Hosting provajder se moze tuziti od strane klijenata ukoliko usluge/servisi nisu dostupni vise nego sto je to poslovnikom definirano ( onih 99,9999% ). Isto tako ukoliko klijent nije u mogucnosti da koristi zakupljeni prostor ( placena usluga ), ima osnovu za tuzbu ( dokazi su tu posebna prica ).

Ukoliko treca strana otkrije da se na nekom hosting serveru nalaze ilegalni podaci, hosting kompanija je duzna da zabrani pristup istima cim sazna za iste ( znaci - cim treca stranka informira hosting kompaniju ). Hosting kompanija nije duzna da sama trazi ilegalne sadrzaje na svojim serverima, ali mora navesti koji su to ilegalni sadrzaji u pravilniku kojeg mora klijent prihvatiti.

U slucaju sigurnosnog propusta kao sto je Adis vec spomenuo - hosting kompanija je duzna da istrazi slucaj ( najcesce se koriste napadnute mashine za DDoS napade… kod servera u racunarskim centrima to i nije mala stvar, ali anomalija se lako da otkriti… pa taman koristili samo neki tool za nadgledanje traffica ) i da nakon otkrica rupe obrise skriptu ili jednostavno suspendira account. Ukoliko dodje do stalno jednog te istog, napadnuti je duzan da se obrati abuse odjelu nadprovidera. CAP - nema veze - nema problema

A BO… iduci put malo bolje objasni tvoj problem…

Pozdrav

Ice

vedran · July 30, 2006, 11:21am

Ne, ali možeš sa par jednostavnih mjera onemogućiti da se takve stvari uopšte rade. Mislim, možda je Logosoft zakonski u pravu ali etički nije - to me podsjeća na ove sarajevske parkinge na kojima se svakodnevno auti kradu a vlasnici parkinga (koji isti naplaćuju) se pravdaju da nemaju resursa da to spriječe

exorcism · August 12, 2006, 5:26pm

najbolje ti je otici sa tim logovima u logosoft (masinski fakultet) pa ces vidjeti sta i kako i ko

Bo · August 14, 2006, 10:32am

ma kontaktirao sam ih, i rekli su da je mali saobracaj napravljen prema mojoj IP ad. ali nije bio u pitanju trafic nego scripta koja je bila tamo, al hajd pa ti njima objasni…

iptables

exorcism · August 14, 2006, 11:12am

[quote=Bo]ma kontaktirao sam ih, i rekli su da je mali saobracaj napravljen prema mojoj IP ad. ali nije bio u pitanju trafic nego scripta koja je bila tamo, al hajd pa ti njima objasni…

iptables :)[/quote]
znaju