Dauernd Angriffe auf meinen Webserver

[MarroniJohny]

Hoi

Habe auf meinem Homeserver ein Plesk, offen ist von aussen nur TCP 80 und TCP/UDP 443. Ausserdem nutze ich das Plesk als Reverse Proxy für einige Anwendungen.

Es ist seit Monaten immer ein ganzes Subnet bei mir am lauschen. Glaube das ist immer der selbe Angreifer. Einmal 20 verschiedene Adressen aus Brasilien, einmal aus Ukraine, etc. Meist aber aus Brasilien.

Was bringt denen das, dass die so zahlreich auf https zugreifen? Habe in der OPNsense die Crowdsec Webfilter eingerichtet. Ausserdem einen Honeypot: wenn wer auf einem Port den ihn nichts angeht anklopft, wird der für 72h geblockt. Aber die betreffenden IPs um die es hier geht, greifen nur auf https zu. IDS habe ich auch in Betrieb, aber ohne IPS. Habe da bisschen Angst vor false positive.

GeoIP Keule kommt leider auch nicht in Frage. Habe sehr internationales Publikum, auch aus Brasilien. Die müssen alle auf den Webserver zugreifen können.

• Ist das normales Grundrauschen?
• Was machen die?
• Kann ich da was machen?

Gruss und danke

 

[d4f]

Ist das normales Grundrauschen?

Vermutlich. Erfahrungsgemäss kriegen geschützte Hosts noch mehr Scans ab, vermutlich da die Wahrscheinlichkeit an wertvollen Informationen höher ist.

Was machen die?

Dazu müsstest du sie ihre HTTP-Requests durchführen lassen um die Versuche nach zu vollziehen. Von Vuln-Scanning bis versuchtes Cred-Stuffing ist alles möglich

Kann ich da was machen?

Viel mehr als was du tust und mit deinen Einschränkungen? Nein. Aber es scheint ja zu funktionieren.
Crowdsec erkennt die geposteten IPs übrigens als ActiveScanning auch wenn sie nicht blocklisted sind

 

[Thorsten]

Hallo @MarroniJohny,
kannst es sein, dass die Verbindungen alle im Status SYN_RECV sind? Bei mir sieht das wie folgt aus:

tcp6       0      0 example.com:https 45.169.229.119:3122     SYN_RECV
tcp6       0      0 example.com:https 45.169.228.72:60150     SYN_RECV
tcp6       0      0 example.com:https 45-169-231-112.dgnetsp.com.br:32275 SYN_RECV
tcp6       0      0 example.com:https 45-169-231-10.dgnetsp.com.br:48043 SYN_RECV
tcp6       0      0 example.com:https 45-169-229-114.dgnetsp.com.br:53916 SYN_RECV
tcp6       0      0 example.com:https 45-169-229-227.dgnetsp.com.br:36263 SYN_RECV
tcp6       0      0 example.com:https 45-169-229-20.dgnetsp.com.br:40811 SYN_RECV
tcp6       0      0 example.com:https 45-169-231-143.dgnetsp.com.br:63432 SYN_RECV
tcp6       0      0 example.com:https 45-169-229-3.dgnetsp.com.br:61308 SYN_RECV
tcp6       0      0 example.com:https 45.169.230.157:33234    SYN_RECV
tcp6       0      0 example.com:https 45.169.228.86:11673     SYN_RECV
tcp6       0      0 example.com:https 45-169-228-142.dgnetsp.com.br:38364 SYN_RECV
tcp6       0      0 example.com:https 45.169.228.4:32925      SYN_RECV
tcp6       0      0 example.com:https 45.169.230.120:7038     SYN_RECV
tcp6       0      0 example.com:https 45.169.230.93:45980     SYN_RECV
tcp6       0      0 example.com:https 45.169.229.89:16690     SYN_RECV
tcp6       0      0 example.com:https 45.169.231.249:19798    SYN_RECV
tcp6       0      0 example.com:https 45-169-230-106.dgnetsp.com.br:50934 SYN_RECV
tcp6       0      0 example.com:https 45-169-228-147.dgnetsp.com.br:60491 SYN_RECV
tcp6       0      0 example.com:https 45-169-228-221.dgnetsp.com.br:57302 SYN_RECV
tcp6       0      0 example.com:https 45.169.228.209:45052    SYN_RECV
tcp6       0      0 example.com:https 45.169.230.28:62267     SYN_RECV
tcp6       0      0 example.com:https 45-169-230-236.dgnetsp.com.br:30858 SYN_RECV
tcp6       0      0 example.com:https 45.169.231.100:11670    SYN_RECV
tcp6       0      0 example.com:https 45.169.228.45:42066     SYN_RECV
tcp6       0      0 example.com:https 45.169.231.151:54253    SYN_RECV
tcp6       0      0 example.com:https 45.169.228.189:45224    SYN_RECV
tcp6       0      0 example.com:https 45-169-229-218.dgnetsp.com.br:59555 SYN_RECV
tcp6       0      0 example.com:https 45.169.229.206:24887    SYN_RECV
tcp6       0      0 example.com:https 45.169.231.247:12172    SYN_RECV
tcp6       0      0 example.com:https 45-169-230-204.dgnetsp.com.br:19950 SYN_RECV
tcp6       0      0 example.com:https 45.169.231.37:29508     SYN_RECV
tcp6       0      0 example.com:https 45.169.231.114:42042    SYN_RECV
tcp6       0      0 example.com:https 45.169.230.220:31067    SYN_RECV
tcp6       0      0 example.com:https 45-169-230-130.dgnetsp.com.br:63078 SYN_RECV
tcp6       0      0 example.com:pop3 32.154.45.199.censys-scanner.com:5189 SYN_RECV
tcp6       0      0 example.com:https 45.169.231.90:41813     SYN_RECV
tcp6       0      0 example.com:https 45.169.230.43:63966     SYN_RECV
tcp6       0      0 example.com:https 45-169-228-220.dgnetsp.com.br:40817 SYN_RECV
tcp6       0      0 example.com:https 45-169-228-234.dgnetsp.com.br:20752 SYN_RECV
tcp6       0      0 example.com:https 45-169-228-148.dgnetsp.com.br:58309 SYN_RECV
tcp6       0      0 example.com:https 45-169-231-113.dgnetsp.com.br:38245 SYN_RECV
tcp6       0      0 example.com:https 45-169-230-206.dgnetsp.com.br:30424 SYN_RECV

VG
Thorsten

 

[MarroniJohny]

Keine Ahnung. Aber glaube ja:

martin@lab:~$ ss -ant | grep SYN-RECV
SYN-RECV  0      0                          192.168.33.33:443            45.169.228.221:41797
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.220:15884
SYN-RECV  0      0                          192.168.33.33:443             45.169.229.33:36220
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.158:52658
SYN-RECV  0      0                          192.168.33.33:443            45.169.231.234:31990
SYN-RECV  0      0                          192.168.33.33:443             45.169.231.64:30131
SYN-RECV  0      0                          192.168.33.33:443            45.169.229.253:44450
SYN-RECV  0      0                          192.168.33.33:443             45.169.231.27:60696
SYN-RECV  0      0                          192.168.33.33:443            45.169.229.210:10053
SYN-RECV  0      0                          192.168.33.33:443             45.169.231.98:2485
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.134:53628
SYN-RECV  0      0                          192.168.33.33:443            45.169.229.210:22678
SYN-RECV  0      0                          192.168.33.33:443            45.169.231.162:26210
SYN-RECV  0      0                          192.168.33.33:443             45.169.228.25:60144
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.209:7980
SYN-RECV  0      0                          192.168.33.33:443             45.169.228.35:8570
SYN-RECV  0      0                          192.168.33.33:443             45.169.231.23:43681
SYN-RECV  0      0                          192.168.33.33:443            45.169.229.142:50174
SYN-RECV  0      0                          192.168.33.33:443            45.169.231.172:3819
SYN-RECV  0      0                          192.168.33.33:443            45.169.229.162:53357
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.139:56375
SYN-RECV  0      0                          192.168.33.33:443             45.169.231.47:54626
SYN-RECV  0      0                          192.168.33.33:443             45.169.228.90:27319
SYN-RECV  0      0                          192.168.33.33:443             45.169.229.20:50187
SYN-RECV  0      0                          192.168.33.33:443            45.169.228.167:17407
SYN-RECV  0      0                          192.168.33.33:443            45.169.228.221:55747
SYN-RECV  0      0                          192.168.33.33:443             45.169.231.74:64379
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.246:51436
SYN-RECV  0      0                          192.168.33.33:443            45.169.229.151:40621
SYN-RECV  0      0                          192.168.33.33:443              45.169.229.3:49983
SYN-RECV  0      0                          192.168.33.33:443            45.169.228.213:42643
SYN-RECV  0      0                          192.168.33.33:443             45.169.229.57:36068
SYN-RECV  0      0                          192.168.33.33:443            45.169.231.227:28010
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.167:20720
SYN-RECV  0      0                          192.168.33.33:443             45.169.230.35:2797
SYN-RECV  0      0                          192.168.33.33:443            45.169.231.230:25155
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.170:39106
SYN-RECV  0      0                          192.168.33.33:443            45.169.230.221:56588
SYN-RECV  0      0                          192.168.33.33:443              45.169.228.7:53550
SYN-RECV  0      0                          192.168.33.33:443             45.169.229.37:28392
SYN-RECV  0      0                          192.168.33.33:443             45.169.228.88:65216
SYN-RECV  0      0                          192.168.33.33:443            45.169.228.244:59890
SYN-RECV  0      0                          192.168.33.33:443            45.169.229.156:26643
SYN-RECV  0      0                          192.168.33.33:443            45.169.231.112:10400
SYN-RECV  0      0                          192.168.33.33:443              45.169.231.0:11373
SYN-RECV  0      0                          192.168.33.33:443             45.169.230.20:6321
SYN-RECV  0      0                          192.168.33.33:443            45.169.231.196:37431
SYN-RECV  0      0                          192.168.33.33:443            45.169.231.244:15234
martin@lab:~$

Heisst das, Du wirst aus der selben Quelle gespamt?

 

[Thorsten]

Heisst das, Du wirst aus der selben Quelle gespamt?

Yes!

 

[tomcat8]

Yes!

Willkommen im Club!

tcp6       0      0 meine.ip:443       45.169.230.56:9628      SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.117:18136    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.247:41350    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.210:4145     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.250:16641    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.167:63527    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.221:53524    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.44:40652     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.73:5065      SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.79:36400     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.0:18539      SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.2:51157      SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.29:43208     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.58:27603     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.154:29047    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.103:12502    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.224:27391    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.152:35535    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.184:11065    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.172:35856    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.252:8819     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.198:29241    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.33:57252     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.22:27093     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.126:29430    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.123:64464    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.45:16922     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.25:38209     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.133:64420    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.52:47694     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.147:42236    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.149:23232    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.225:50126    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.25:60362     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.231.103:27830    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.230:15394    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.230.44:47320     SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.181:46896    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.228.159:26144    SYN_RECV   
tcp6       0      0 meine.ip:443       45.169.229.172:46493    SYN_RECV

 

[MarroniJohny]

Gute Güte, denen muss ja echt langweilig sein. Bin dafür, dass Teeren und Federn, Vierteilen sowie Steinigen wieder eingeführt wird.

 

[Lord Gurke]

Das was du da siehst, ist kein Angriff auf deinen Server – der wird nur als Reflektor für SYN-ACK-Flooding missbraucht.

Da werden mit gespoofeten Absender-Adressen (die, die du siehst) SYN-Pakete geschickt. Dein Server antwortet darauf mit ACK und – da er keine Antwort darauf bekommt – wird das ACK mehrfach wiederholt, normalerweise insgesamt 5 Mal.
Schickt ein Angreifer also mit gespoofeten Adressen insgesamt 1 Million Pakete an alle möglichen Server im Internet, bekommt das Opfer 5 Millionen ACK-Pakete.
Du siehst ja in deiner Ausgabe auch, dass der Status auf SYN_RECV steht, es wurde also nur ein SYN-Paket empfangen, danach nichts mehr.

 

[MarroniJohny]

Okay, danke. Hatte ellenlang mit gemini rum diskutiert, nicht mal die ist auf die Idee gekommen, dass das gespoofte Adressen sein könnten. Kann man wissen, muss man nicht. Die armen Brasilianer, wollte schon zurück schiessen...

Bin im Moment das Netzwerk am neu aufbauen. Wenn ich die Sense auf die neue Konfiguration hebe, werde ich das Problem mit den syn-ack auch angehen. Bzw. werde dann den Reverse Proxy vom Plesk auf die Sense umziehen. Da gibt es anscheinend dann schon Hebel, um solchem Schwachfug entgegen zu wirken.

 

[MarroniJohny]

Fast schon gespenstisch. Keine Ahnung, ob der Assel wer den Hahn abgedreht hat, oder ob dem einfach mal langweilig wurde.

 

[tomcat8]

Na, so ganz vorbei ist es mit unsern Brasilianern noch nicht; habe allerdings auch eine ganze Menge dieser IPs mit fail2ban ausgesperrt.

tcp6 0 0 meine.ip:443 45.233.179.217:3560 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.178.31:25402 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.176.118:44638 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.176.162:26958 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.179.136:58287 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.178.167:11646 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.178.61:1281 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.178.203:28617 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.179.166:62276 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.178.172:407 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.176.45:55862 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.177.225:40500 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.177.9:45671 SYN_RECV
tcp6 0 0 meine.ip:443 45.233.178.192:5065 SYN_RECV