Script kiddies und anderes Ungeziefer

[wolfmann]

So - jetzt laeuft mein Server seit Tagen ohne probleme - aber bei jedem logwatch run haeufen sich die Angezeigten Hack attempts - hat schon jemand mal versucht Abuse Meldungen zu schreiben - wenn ja was soll man da alles mitschicken? Ich mach mir da weniger sorgen um meinen server (aktuell gehalten/tripwire/snort/logwatch ) als um andere, die nicht so viel Erfahrung in der Materie haben (wobei ich leider auch weit entfernt davon bin ein Profi zu sein :-( )

Bei mir kamen sogar ne attacke aus dem Intergenia netz

<IPADDRESS HERE> (static-ip-<IPADDRESS HERE>.inaddr.intergenia.de): 111 times
       root/password: 46 times
       web0/password: 7 times
       web1/password: 7 times
       web2/password: 6 times
       web3/password: 6 times
       web4/password: 6 times
       web5/password: 6 times
       web6/password: 6 times
       web7/password: 6 times
       web10/password: 5 times
       web8/password: 5 times
       web9/password: 5 times

schoen langsam geht mir das naemlich ordentlich auf die Nerven - irgendwann sollte mal ein exempel statuiert werden das Script Kiddies zeigt dass das kein lustiges Zeitvertreib Hobby ist.

just my 0.02Eur

edit: allen FC3 user kann ich nur dieses doc ans Herz legen: http://www.snort.org/docs/setup_guides/snort_base_SSL.pdf

 

[Huschi]

Mail an abuse[at]intergenia.de mit den entsprechenden Teilen der Logfiles.
Meistens bekommst Du keine Antwort, aber es hilft tatsächlich.

huschi.

 

[HornOx]

hat schon jemand mal versucht Abuse Meldungen zu schreiben - wenn ja was soll man da alles mitschicken?

So sah z.B. meine letzte derartige Mail aus:

Hallo,
der Rechner mit der IP 62.75.159.226 hat bei mir eine Menge Einloggversuche bei ssh gemacht. Da ich keine Benutzter web0-web10 habe und die IP auch nicht kenne vermute ich das der Rechner einen Wurm oder ähnliches hat. Es wäre nett wenn sie den zuständigen Admin informieren würden.

mein Name



devmode:~# egrep "Illegal user" /var/log/auth.log | egrep 62.75.159.226 | wc
134 1340 9928
devmode:~# tail /var/log/auth.log
May 21 14:31:24 devmode sshd[15096]: Illegal user web3 from 62.75.159.226
May 21 14:31:25 devmode sshd[15098]: Illegal user web4 from 62.75.159.226
May 21 14:31:28 devmode sshd[15100]: Illegal user web5 from 62.75.159.226
May 21 14:31:30 devmode sshd[15102]: Illegal user web6 from 62.75.159.226
May 21 14:31:36 devmode sshd[15104]: Illegal user web7 from 62.75.159.226
May 21 14:31:45 devmode sshd[15106]: Illegal user web8 from 62.75.159.226
May 21 14:31:47 devmode sshd[15108]: Illegal user web9 from 62.75.159.226
May 21 14:31:49 devmode sshd[15110]: Illegal user web10 from 62.75.159.226
May 21 14:31:52 devmode sshd[15112]: Illegal user web0 from 62.75.159.226
May 21 14:31:55 devmode sshd[15114]: Illegal user web1 from 62.75.159.226

 

[wolfmann]

ok danke,
werde meine E-Mail mal aehnlich gestalten.
Ich glaube ich werde mir jede Woche eine Top 5 Liste erstellen und mal abuse meldungen abschicken ;-)

 

[Ilai]

abuse Mails mögen helfen - aber wenn du einfach nur deine Ruhe haben willst, dann leg' einfach den SSHD Socket auf einen anderen Port.

die Script-Volltrottel wirst du leider nie alle weg bekommen, aber die laufen damit zu 99.99% komplett in's Leere.

Evtl. wäre ein Script gut, das die Abuse Mails automatisiert, und an die Admins im whois mailt... vielleicht setz' ich mich da mal dran, wenn ich Freizeit habe

 

[wolfmann]

abuse Mails mögen helfen - aber wenn du einfach nur deine Ruhe haben willst, dann leg' einfach den SSHD Socket auf einen anderen Port.

die Script-Volltrottel wirst du leider nie alle weg bekommen, aber die laufen damit zu 99.99% komplett in's Leere.

Evtl. wäre ein Script gut, das die Abuse Mails automatisiert, und an die Admins im whois mailt... vielleicht setz' ich mich da mal dran, wenn ich Freizeit habe

tja die besten Ideen sind halt die einfachsten... ich hab meinen sshd mal weit rauf gelegt, und hab auch nur einen user, dem erlaubt ist sich einzuloggen (natuerlich root *ggg* )

 

[wolfmann]

hat eigentlich jemand Erfahrung mit Honeynets gemacht?

ich hab sowas bisher nur auf der Uni als kontrollierten Versuch gestartet, bin mir aber nicht sicher ob ich mir den Aufwand auf nem vserver antun will

 

[Guin]

Ich kenne das als "honey pot".

Das ist so ein zweischneidiges Schwert. Wenn der Pot nicht gut abgedichtet ist, kann es schnell nach hinten losgehen. Wenn der Angreifer von einem solchen System ein anderes "belaestigen" kann, ist der Serverbetreiber haftbar.


Hier in Deutschland ist es verboten, sein Auto offen stehen zu lassen. Wenn einem dann das Auto, oder die darin befindlichen Sachen geklaut werden, hat der Besitzer wenigstens eine Mitschuld...
In wie weit man das auf den Honigtop uebrtragen kann, weiss ich nicht

Ich halte das fuer keine gute Idee. Was soll man sich daraus erhoffen? Wenn da jemand aus dem Ausland oder einem anderen gehackten Server aus angreifft, sind die Daten eh hinfaellig.
Das einzig Interessante waere das Vorgehen der Hacker zu studieren... aber das kann man auch in einschlaegigen Foren nachlesen.

Ich hoffe, wir meinten das Gleiche.

 

[wolfmann]

Ich kenne das als "honey pot".

Das ist so ein zweischneidiges Schwert. Wenn der Pot nicht gut abgedichtet ist, kann es schnell nach hinten losgehen. Wenn der Angreifer von einem solchen System ein anderes "belaestigen" kann, ist der Serverbetreiber haftbar.


Hier in Deutschland ist es verboten, sein Auto offen stehen zu lassen. Wenn einem dann das Auto, oder die darin befindlichen Sachen geklaut werden, hat der Besitzer wenigstens eine Mitschuld...
In wie weit man das auf den Honigtop uebrtragen kann, weiss ich nicht

Ich halte das fuer keine gute Idee. Was soll man sich daraus erhoffen? Wenn da jemand aus dem Ausland oder einem anderen gehackten Server aus angreifft, sind die Daten eh hinfaellig.
Das einzig Interessante waere das Vorgehen der Hacker zu studieren... aber das kann man auch in einschlaegigen Foren nachlesen.

Ich hoffe, wir meinten das Gleiche.

ja wir meinten das gleiche Ein Honeynet besteht aus mehreren Honeypots - hab mich da nicht klar ausgedrueckt. Natuerlich hast du mit der Absicherung recht - wobei es recht schwer ist einen Honeypot auszutricksen - das standard Scriptkid checkt sicher nicht, dass das nur ein toepfchen ist ;-)

Aber ich denke du hast recht, dass das risiko auf einem 'halb' produktiv Server zu gross ist.

 

[Ilai]

Lohnt sich IMHO nur dann, wenn man quer über den Globus eine gleichmässige Verteilung von Honeypots hat, um dann Verbreitung und Technik von Angreifern bzw. Würmern/Viren/Trojanern analysieren zu können.
Mit einem einzelnen Honeypot erreicht man da nicht mehr, als man mit den Logfiles eines normalen Servers nicht auch erlangen könnte.

 

[bwar]

Als ich von s4y-vServern Bruteforce-Attacken auf meinen s4y-Rootie hatte, habe ich ein ganz normales Ticket an den Support eröffnet. Sie haben geantwortet und mir damals versichert, dass sie sich mit dem Mieter in Verbindung setzen.

Danach habe ich mich mit dem Besitzer selber in Verbindung gesetzt. Dieser hat mir auch gleich gesagt, dass sich s4y schon gemeldet hatte.
Nachdem der vServer wieder sicher war, gabs keine Probleme mehr.


Ich bekomme jedoch ständig Brute-DInger aus Brasilien, China, Russland und Holland... Die auth-Log wächst jede Woche im 1,8MB an, nur weil ständig Fehlermeldungen über fehlgeschlagene Loginversuche drin stehen....

 

[Guin]

Die auth-Log wächst jede Woche

Wie schon mehrfach geschrieben, es hilft, wenn man den Port 22 auf einen anderen verlegt.

 

[bwar]

Mich stört das nicht. Das Leben geht weiter.

DIe Passwörter, die verwendet werden, stammen aus einfachen Listen. Alphanumerische Passwörter werden zum Glück nicht verwendet.

 

[flyingoffice]

Ich bekomme jedoch ständig Brute-DInger aus Brasilien, China, Russland und Holland... Die auth-Log wächst jede Woche im 1,8MB an, nur weil ständig Fehlermeldungen über fehlgeschlagene Loginversuche drin stehen....

Denyhosts ist Dein Freund, insbesondere die Syncfunktion sollte bei Dir schnell Abhilfe schaffen und Dein Log entlasten.

Gruß flyingoffice

 

[sledge0303]

Das mit dem Port 22 verlegen ist schon eine gute Sache. Ich habe jedenfalls einige Veränderungen versucht vorzunehmen, wonach ein SSH Login nur von meinem Rechner aus möglich machte - den MAC Adressen abgleich.
Hat aber den Nachteil, wenn dein Rechner defekt ist - oder die NIC - kommst halt nicht mehr ran, also wurde das Projekt aufgegeben.
Du kannst neben der Portverlegung einen Sicherheitsschlüssel hinterlegen und dem "root" den SSH Zugang verweigern. Dafür erstellst einen User und eine neue Gruppe, wenn Änderungen am System vornehmen musst, loggst dich einfach als "su" mit dem Rootpasswort ein.
So bringe ich meinen Leuten den Umgang mit einem Root- oder Vserver bei und keiner hat Probleme mit Einbrüchen in das System gehabt.
Aber auch der Versuch ist strafbar, leider benutzt das Ungeziefer Proxies oder im Netz befindliche Rechner ohne Firewall usw...

Just my 2 cents!!!

 

[HornOx]

MAC Adressen abgleich.

Funktioniert aber nur wenn beide Rechner im über ein lokales Ethernetnetzwerk verbunden sind, im Internet gibt's nur TCP/IP und das hat keine MAC.

Hat aber den Nachteil, wenn dein Rechner defekt ist - oder die NIC - kommst halt nicht mehr ran

Bei vielen Netzwerkkarten können beliebige MACs eingestellt werden.

 

[wolfmann]

Lohnt sich IMHO nur dann, wenn man quer über den Globus eine gleichmässige Verteilung von Honeypots hat, um dann Verbreitung und Technik von Angreifern bzw. Würmern/Viren/Trojanern analysieren zu können.
Mit einem einzelnen Honeypot erreicht man da nicht mehr, als man mit den Logfiles eines normalen Servers nicht auch erlangen könnte.

naja was ich mit einem einzelnen Honeypot machen kann, ist so einen Schaedling
bewusst taeuschen - wenn er reinfaellt hab ich die logs fuer einen erfolgreichen Einbruchsversuch - was ev. mehr wiegen koennte als ein standard exploit scan - weil da muesste ja der Hacker selbst Hand anlegen und sich einloggen. Aber da hat die Falle schon zugeschnappt, und die logs sind verschickt bevor er/sie sich ans loeschen der Spuren machen kann - falls er es ueberhaupt schafft zugriff aufs hostsystem zu bekommen. das ist natuerlich nur eine Loesung wenn man bewusst auf die jags geht. Ich hab mitlerweile den Grossteil der Angriffe aus deutschen/oesterreichischen Netzten. naja aber vorlaeufig lasse ich es bei snort/tripwire/logwatch/denyhosts

 

[BlueStar88]

SSH-Security

Hallo,

ich benutze automatisch konfigurierte Firewall-Regeln, die alle paar Minuten div. per DynDNS geplflegte IPs für Port 22 einrichten und diese somit durchlassen, alle anderen Anfragen werden gedroppt/rejected..
Daher habe ich auch keine Probs mit BruteForce-Attacken an Port 22...



Gruß

Manuel