West Wind Internet Protocols

[Joshua]

Nabend,

habe seit kurzem im Apache-Log ständig diesen Eintrag:

83.x.x.x - - [25/Jun/2006:04:11:58 +0200] "GET / HTTP/1.1" 200 777 "-" "West Wind Internet Protocols 4.55"

Die Zugriffe haben in den letzten Tagen stark zugenommen (naja was heisst stark, im Schnitt 5x am Tag), gehen immer auf dieselbe Seite und kommen interessanterweise zu 90% von Adressen aus der Domäne .....cust.bluewin.ch

Was ist das?? Habe nur herausgefunden dass das scheinbar mit irgendeiner FoxPro Anwendung zu tun hat die von http://www.west-wind.com/ stammt, aber was genau das jetzt sein soll blicke ich nicht so ganz. Ist das irgendein Bot? Oder eine neuartige Browsererweiterung? Oder wie oder was??

MfG
Joshua

 

[//*Brainfuck*\\]

Nabend,

habe seit kurzem im Apache-Log ständig diesen Eintrag:



Die Zugriffe haben in den letzten Tagen stark zugenommen (naja was heisst stark, im Schnitt 5x am Tag), gehen immer auf dieselbe Seite und kommen interessanterweise zu 90% von Adressen aus der Domäne .....cust.bluewin.ch

Was ist das?? Habe nur herausgefunden dass das scheinbar mit irgendeiner FoxPro Anwendung zu tun hat die von http://www.west-wind.com/ stammt, aber was genau das jetzt sein soll blicke ich nicht so ganz. Ist das irgendein Bot? Oder eine neuartige Browsererweiterung? Oder wie oder was??

MfG
Joshua

Guten Morgen Josh,

also wie Du schon treffend bemerkst hast handelt es sich hierbei um eine FoxPro anwendung. FoxPro war eine Programmiertechnik von Microsoft die noch bis glaube ich 2003 aktuell war:

Auszug in Englisch:
West Wind Web Connection For Visual FoxPro 3.0

Welcome to West Wind Web Connection. This product can connect your Visual FoxPro applications to the World Wide Web in real time, allowing you to take full advantage of Visual FoxPro’s powerful data access functionality for providing dynamically generated Web Content. The supplied classes and tools greatly simplify receiving CGI requests, using the CGI information and generating the final dynamic HTML pages to return to the web server.

Übersetzung ins Deutsche:

Westwind-Netz-Anschluß für SichtFoxPro 3.0 Willkommen zum Westwind-Netz-Anschluß. Dieses Produkt kann deine SichtFoxPro Anwendungen an das World Wide Web in der Realzeit anschließen und dir erlauben, vollen Nutzen aus Sichtfoxpros leistungsfähiger Daten-Zugang Funktionalität für das Zur Verfügung stellen des dynamisch erzeugten Netz-Inhalts zu ziehen. Die gelieferten Kategorien und die Werkzeuge vereinfachen groß das Empfangen von cgi Anträgen, das Verwenden der cgi Informationen und das Erzeugen der abschließenden dynamischen HTML Seiten, um zum web server zurückzugehen.


# Hyperlink zur technischen Dokumentation im doc Format

http://portal.dfpug.de/dFPUG/Kategorien/Technologien/ISAPI/

(Abschnitt: Geändert: 17.09.2003 Autor: Rick Strahl)


<Anmerkung>WestWind Internet Protocols sind Libarys die mit diesem Programm erstellt werden können </Anmerkung>

schau mal hier:

http://www.chaossoft.de/index.php?wohin=agent&unter=1&wohin4=7

<Anmerkung> Es werden damit sogenannte UserAgent generiert, aber auch andere Dinge sind möglich </Anmerkung>

schau mal hier:

http://www.blogbox.ch/chriscount/stats/index.php

(Abschnitt Die letzten UserAgents Die häufigsten User Agents)

<Anmerkung>Auch Jetbots sind möglich </Anmerkung>

schau mal hier:

http://notendatenbank.net/statistik/de/BROWSERSUM.html

(Abschnitt Browsertyp siehe Nr.136/1 Jetbot West Wind Internet Protocols 4.55)

Zu cust.bluewin.ch habe ich folgendes herausbekommen,diese Firma gehört zu Swisscom Fixnet und diese bietet auch Internetzugänge an.
Die Frage die sich jetzt natürlich stellt was haben die bei Dir zu suchen ?

Auszug des Traceroutes zu bluewin.ch

Routenverfolgung zu dns1.bluewin.ch [195.186.1.110] ?ber maximal 30 Abschnitte:

1 572 ms 473 ms 794 ms 10.210.19.146
2 457 ms 581 ms 680 ms 10.210.19.146
3 448 ms * 3071 ms 139.7.127.2
4 537 ms 480 ms 538 ms 62.208.32.25
5 531 ms 538 ms 539 ms ge-1-0-0-100.zcr2.dus.cw.net [195.2.2.194]
6 495 ms 541 ms 538 ms so-7-0-0-bcr1.fra.cw.net [195.2.10.22]
7 431 ms 542 ms 700 ms so-1-3-0-dcr1.fra.cw.net [195.2.10.38]
8 499 ms 576 ms 562 ms so-4-0-0-dcr1.par.cw.net [195.2.10.142]
9 545 ms 618 ms 641 ms so-1-0-0-0-ycr2.zuh.cw.net [208.175.232.90]
10 480 ms 618 ms 644 ms swisscom-ltd-ip-plus-services1.zuh.cw.net [208.175.232.114]
11 524 ms 660 ms 640 ms i79zhb-005-pos4-3.bb.ip-plus.net [138.187.130.162]
12 480 ms 581 ms 601 ms net604.bwrt1inb.bluewin.ch [195.186.0.113]
13 617 ms 636 ms 622 ms net125.bwrt1csb.bluewin.ch [195.186.125.73]
14 564 ms 636 ms 623 ms dns1.bluewin.ch [195.186.1.110]

Ablaufverfolgung beendet.


Internetpräsenz:

http://de.bluewin.ch/kundencenter/index.php/bluewin_index

Hoffe ich konnte Dir ein wenig helfen viele Grüsse Rudolf

 

[Joshua]

Morgähn,

danke für die schnelle Antwort.

schau mal hier:

http://www.chaossoft.de/index.php?wo...ter=1&wohin4=7

<Anmerkung> Es werden damit sogenannte UserAgent generiert, aber auch andere Dinge sind möglich </Anmerkung>

interessant, die hier aufgelisteten IP-Adressen sind genau aus denselben Bereichen die auch bei mir rumgeistern.

Mit dem Westwind-Teil scheint es übrigens auch möglich zu sein Mails zu verschicken:

http://www.afpfaq.de/?id=58de

Sehr mysteriös das Ganze..

 

[//*Brainfuck*\\]

Morgähn,

danke für die schnelle Antwort.



interessant, die hier aufgelisteten IP-Adressen sind genau aus denselben Bereichen die auch bei mir rumgeistern.

Mit dem Westwind-Teil scheint es übrigens auch möglich zu sein Mails zu verschicken:


Sehr mysteriös das Ganze..

Hallo Joshua,

leider konnte ich nicht mehr herausfinden hatte viel zu tun jede Menge Arbeit und irgendwann muss man ja mal ins Bett.
Aber das ist mir auch aufgefallen, da geht aber noch mehr schade bin leider nicht so der FoxPro Experte auf alle Fälle wird FoxPro noch eingesetzt.
Würde mal weiter die Logfiles im Auge behalten und mal Etheral zum Einsatz bringen damit Du mal lokalisieren kannst was und von wo da was abgeht.

gruss Rudolf

 

[//*Brainfuck*\\]

Hallo Joshua,

also das hat mir keine Ruhe gelassen und ich habe was gefunden

schau mal hier:

http://cert.uni-stuttgart.de/ticker/article.php?mid=952

<Anmerkung> Was ich auch nicht gewusst habe ist das FoxPro Anwendungen auch auf der Linux und Apache Plattform ausführbar sind.</Anmerkung>

schau mal hier:

http://www.dfpug.de/veran/konfprog/konfprog_2003/coverage/linux.htm

<Anmerkung>Also was ich so bis jetzt herausgefunden habe, stimmt mich das alles doch sehr bedenklich, da diese Anwendungen ausführbar sind, ein Teufelszeug</Anmerkung>

Bleibe weiter am Ball, melde mich mal per PM dei Dir falls ich nochmehr rausbekomme.

Gruss Rudolf

 

[kili]

Übersetzung ins Deutsche:

Das hast Du wirklich prima gebabelfischt. Leider ist kein sinnvoller Text dabei herausgefallen.

 

[//*Brainfuck*\\]

Das hast Du wirklich prima gebabelfischt. Leider ist kein sinnvoller Text dabei herausgefallen.

Guten Morgen kili,

ja da hast Du Recht unwidersprochen das muss ich zugeben. Mein Englisch ist nicht gerade so der Bringer, zumindest gibt aber die Übersetzung wieder um was für ein Tool es sich hierbei handelt.
Zu meiner Entschuldigung kann ich nur anführen das ich an diesem Tag bereits seit über 30 Stunden aus beruflichen Gründen auf den Beinen war.
Bei meiner Recherche war ich gerade zu entsetzt wie oft noch FoxPro eingesetzt worden ist und eingesetzt wird, siehe hierzu auch die links die ich angegeben habe.
Das Thema FoxPro mit Unix und Linux, habe ich ganz hoch auf meine TODO Liste gesetzt.
Auch plane ich dieses dem Projekt Trusted BSD zugänglich zu machen da ich hier ein nicht zu unterschätzendes Gefahrenpotenztial für Linuxe und Unixe und der Apache Plattform sehe.

Es muss nicht immer die aktuellste Technik sein mit der man erheblichen Schaden verursachen kann.

Wie gesagt mein Englisch ist doch sehr verbesserungswürdig dafür kann ich mich nur entschuldigen aber zumindest auf das Kernproblem denke ich habe ich mit der Übersetzung aufmerksam gemacht und Joshua "Detaillierte Infos" geliefert.

In diesem Sinne und verspreche Besserung der Rudolf

 

[juedan]

Hallo Rudolf,

wieso bist Du der Meinung, dass ein FoxPro-Programm (= Windows-Anwendung) einem UNIX/Linux-System gefährlich werden könnte?
Wenn ich den Text von der Uni-Stuttgart richtig lese, steht dort, dass VFoxPro mit User-Privilegien gestartet wird. Aber unter Unix eine Windows-Anwendung zu starten (mittels wine), die dann auch noch auf das Adressbuch des Email-Clients zugreift, bzw. Schadcode ausführt, der ein Unix-System unbrauchbar macht?

An Eurer Stelle würde ich eine Email an den Betreiber der Seite schreiben und ihn auffordern, das zu unterlassen. Ansonsten würde es seinem Provider gemeldet un dann hat er richtigen Ärger an der Backe.

Viele Grüße

Jürgen

 

[//*Brainfuck*\\]

Hallo Jürgen,

wie gesagt ich bin auch nicht so der FoxPro Experte aber schau mal hier:

Auszug:

Microsoft Visual FoxPro 6.0 weist einen Fehler bei der Auswertung von übergebenen Dateinamen auf. Ferner registriert sich Visual FoxPro sich nicht beim Internet Explorer, um einem Warndialog anzuzeigen, wenn eine Visual FoxPro Applikation aus dem IE heraus gestartet wird. Ein Angreifer eine selbstgeschiebebe FoxPro Applikation per E-Mail versenden oder auf einen Webserver stellen, auf den er den Benutzer lockt, und somit beliebigen Code mit den Rechten des betroffenen Benutzers ausführen. Microsoft stellt einen Patch für Visual FoxPro 6.0 zur Verfügung.

der dazu gehörige Link:

http://www.aerasec.de/security/archiv/200209.html.de

(Abschnitt Sicherheitslücke in Microsoft Visual FoxPro 6.0)

Mittlerweile gibt es die Version 8.0 und dann benötigst Du kein Wine mehr um AFP Seiten auf dem Apache auszuführen.

Am dem obengenannten Problem hat sich bis Dato nix geändert, aber wie gesagt bin noch am Anfang meiner Nachforschungen und ich hoffe Doch sehr stark das Du und nicht ich Recht haben solltest.

Auch kannste mit FoxPro Net bassierende Anwendungen generieren und dann käme dann auch noch ASP in Betracht und das läuft ja bekanntermassen auf Linux basssierenden Os.

In Hinblick auf Net bzw. Mono bin ich auch ein wenig skeptisch.

Aber wie gesagt hoffe das Du Recht behälst bleibe jedenfalls da weiter am Ball

Viele Grüsse Rudolf