Melden von BrutForce-Attacken

r0113

New Member
Hallo,

Administriere momentan einige kleinere Server und habe - wie natürlich jeder - diverse fehlgeschlagene Logins in den Logs, die definitv nicht von Leuten kommen, die etwas auf dem Server zu suchen haben.

Natürlich ist das System durch fail2ban etc. gesichert.

Meine Frage ist: Wie handhabt ihr wiederholte Brute-Force-Attacken über Wochen/Monate hinweg? Macht es Sinn diese bei den Providern zu melden? IP auf Blacklist setzten lassen? oder einfach ignorieren?

Ich bin mir natürlich bewusst, dass ausländische Provider sich oft nicht dafür interessieren. Es geht eher darum darauf hinzuweisen und wenn es genügend oft Reklamation gibt, der Provider sich vllt doch überlegt etwas zu tun.

Greetz und schöne Weihnachtsfeiertage,
r0113
 
Ich bin mir natürlich bewusst, dass ausländische Provider sich oft nicht dafür interessieren.
Im Gegenteil, die interessieren sich oft mehr dafür, als die Provider im deutschsprachigen Raum.

Dennoch ist Ignorieren das Beste. Die paar Login-Versuche stören ja auch nicht weiter, sofern man seinen SSHd vernünftig konfiguriert hat.

fail2ban ist komplett überflüssig, aber das haben wir nun schon oft genug diskutiert.
 
Bei mir macht fail2ban für eine gewisse Zeit dicht und logged die gesperrte IP in einer MySQL-Datenbank mit. Wenn die IP mehrfach bei fail2ban anschlägt, nimmt die IP eine längere Auszeit.
Da bei mir der größte Teil der Brute-Force-Attacken aus China und teilweise Osteuropa kommt, spare ich mir die Mühe, Abuse-Meldungen zu versenden.
 
Also schlecht sind Abuse-Meldungen grundsätzlich nicht.
Wenn der Störer Brute-Force macht, ist er auch ggf ein DDOS-Bot oder verschickt Spam.
Es kommt halt drauf an, ob du dir den Aufwand machen willst.

Bei Providern aus China, Russland, Rumänien, ... würde ich mir die Arbeit sparen.

Bei einem deutschen Hoster habe ich schonmal Antwort bekommen (und der Spam hörte auf).
 
Mit Ausnahme einer russischen Universität (Dezember 2006) wurden meine ins Ausland gehenden Abusemeldungen immer beantwortet und auch der jeweilige Verursacher gestoppt. Im deutschsprachigen Raum habe ich hingegen nur eine Erfolgsquote von rund 70%.

Berechtigte Abuse (inklusive aussagekräftigem und auf das Nötigste reduziertem Logauszug) lohnt sich meiner Erfahrung nach also gerade im Ausland. In DE/A/CH muss ich fast immer rechtliche Schritte androhen, damit sich überhaupt irgendetwas tut.
 
Berechtigte Abuse (inklusive aussagekräftigem und auf das Nötigste reduziertem Logauszug) lohnt sich meiner Erfahrung nach also gerade im Ausland. In DE/A/CH muss ich fast immer rechtliche Schritte androhen, damit sich überhaupt irgendetwas tut.

Inwiefern androhen?
Wie verschickst du solche Abuse-Mails?
Hast du eine Vorlage?

@Joe User:
fail2ban ist komplett überflüssig, aber das haben wir nun schon oft genug diskutiert.

Wo wurde das diskutiert? :)
 
Naja, Fail2ban macht das System insofern nicht sicherer, als das bei hinreichender Stärke der Schlüssel/Passwörter ( je nach Verfahren ) andere Angriffsvektoren als Brute Force wesentlich erfolgversprechender sind.

Fail2ban nutze ich persönlich nur, damit die Logs nicht überquellen, sondern ein Angreifer nach 3 Versuchen - zumindest vorerst - nicht mehr im Log auftaucht.
"Sicherheit" erreiche ich sowieso über einen hinreichend starken Schlüssel, wodurch andere Vektoren wesentlich erfolgversprechender wären (Trojaner, etc...).
 
Inwiefern androhen?
Wenn keine Reaktion kommt und der entsprechende Verursacher nach zwei Wochen immernoch aktiv ist, folgt eine weitere Abusemeldung mit gleichzeitiger Androhung der Übergabe des Vorfalls an die Rechtsabteilung und die Einschaltung der zuständigen Behörden. Danach dauert es in der Regel höchstens drei Tage (oft nur ein paar Stunden) und Ruhe ist.

Wie verschickst du solche Abuse-Mails?
Einfache Mail von abuse@me an abuse@isp mit Logauszug als Inline-Plaintext.

Hast du eine Vorlage?
Nein, wird immer individuell verfasst. Textbausteine werden nicht gern gesehen.

Wo wurde das diskutiert? :)
Einfach mal suchen, dürfte etwa zwei/drei mal pro Jahr diskutiert worden sein. Meistens dann, wenn irgendwer fail2ban als Securitytool angepriesen hat (oft in Verbindung mit SSH).
 
Ich kann leider bestätigen, dass (meinetwegen auch insbesondere) in Deutschland keineswegs alle Provider ein vernünftiges Abuse-Handling betreiben.

Wir machen es so, dass wir inklusive einer Infomeldung, die unser Vorgehen beschreibt, die Abusemail erstmal nur weiterleiten an den Kunden. In den meisten Fällen kriegen die Kunden das dann selbst geregelt. Wenn es Überhand nimmt und wir laufend Abuses zu einem Kunden kriegen, welcher in keiner Weise reagiert, deaktivieren wir diesen nach angemessener Fristsetzung. In Summe halten wir unsere Netze so ziemlich sauber. :) Der Aufwand ist moderat, daher habe ich für die Haltung so mancher (vor allem großer) Provider kein Verständnis.

Abuses selbst würde ich nicht senden bzw. wenn, dann in automatisierter Form. Sonst kann man ja allein dafür einen Mitarbeiter einstellen. ;) Mit einzelnen Servern ist das natürlich noch mal was anderes und mag vom Aufwand her noch annehmbar sein.
 
Ich verschicke Abuses nur für echte Attacken und nicht für lächerliche Bruteforces oder DoS-Versuche. Das hält den Arbeitsaufwand im Rahmen und schont die Nerven ;) Macht circa zwei Abuse pro Monat und 10 bis 30 Minuten Arbeit.

Als Provider braucht man dafür wirklich dedizierte Angestellte, die sollten aber auch vernünftig geschult sein.

Automatisierte Abusemeldungen landen bei vielen Providern (insbesondere in DE/A/CH) ebenfalls automatisiert in der Rundablage. Deswegen sollten Abuses halt individuell verfasst werden.
 
Zum melden von Brute-Force-Angriffe kann man auch https://www.blocklist.de/de/ nutzten *Werbung* ;)
Es gibt auch einen direkte Action-Anweisung in der /etc/fail2ban/action.d/blocklist_de.conf für das melden über die api.

Unsere Erfahrung ist, das vor allem Hosting-Provider reagieren. DSL-ISP hingegen oft nicht oder sagen sie haben keine Logs um den Kunden zu identifizieren, wobei wir die Meldungen zeitnah (weniger als 5 Minuten) versenden und die Verbindung somit noch besteht.
Es gibt natürlich Ausnahmen.


Ich arbeite selbst im Abuse-Team eines großen Hosting-Providers und wenn interne IDS nicht anschlagen, weil die Rate des Angreifers zu niedrig ist, ist man über jede externe Beschwerde froh, so lange man nicht überflutet wird.

Viele Reports die als ARF oder X-ARF rein kommen, verarbeiten wir automatisch, was viel Arbeit abnimmt.


Allgemein zum melden, wenn man die Zeit/Lust hat, finde ich sollte man jeden Angriff reporten, so lang es nicht ein Tor-Server ist oder um 404-Fehler oder so etwas in der Art geht. SSH-Brute-Forcer auf jeden Fall.
Und sollte ein Provider keine Reports wollen, wird der Abuse-Contact in die Blacklist eingetragen und bekommt so keine Mails mehr, fertig.
 
Back
Top