/w00tw00t.at.ISC.SANS.DFind

[Sahasrahla]

Hallo Leute,

seit ein paar Tagen taucht auf meinem Server in den apache-logs folgende Zeile auf:

/w00tw00t.at.ISC.SANS.DFind

Dieses Ding ist ja bekanntlich ein Scanner der den Server auf Vulnerabilitys scannt. Nunja, die IP habe ich per IP-Tables ausgesperrt (gestern) und heute ist er wieder da mit neuer IP.

Ich habe bereits Sufu benutzt, gegoogelt etc. aber nichts passendes gefunden:

Wie kann ich dem Ding den Garaus machen?


An Server 4 you, wo die Domain w00tw00t.at hinzeigt, habe ich das ganze bereits gemeldet an die Abuse-Abteilung, man sagte, man würde handeln, es ist jedoch nix passiert.

Ticket-ID: 216925434
Status: beantwortet
Datum: 26.07.2010 19:42
Anfrage:
Sehr geehrte Damen und Herren,

Wir, xxxxxxx, sind Betreiber eines Webservices und eine IP-Adresse und Domain die Ihrem Rechenzentrum zuzuordnen ist, versucht seit einiger Zeit wiederholt unsere Webserver anzugreifen in Form von Vulnerability-Scans sowie DDoS.

Um dieser Belastung einer Ihrer Kunden Gewicht zu geben, sehen Sie im folgenden einen Webserver-Log-Abschnitt:

static.xxxxxxxxx.clients.your-server.de:80xxxxxx 189.126.109.215 - - [26/Jul/2010:18:38:40 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 400 "-" "-"

Der zu findende Server gibt im Whois folgende Daten aus:

Server Type:
Microsoft-IIS/7.0
IP Address:
85.25.143.105 <http://dns-tools.domaintools.com/ip-tools/?method=traceroute&query=85.25.143.105>
IP Location:
Berlin - Berlin - Server4you Dedicated Server Hosting
Response Code:
200
Domain Status:
Registered And Active Website

personname: David xxxxx
organization:
street address: xxxxx
postal code: xxxx
city: xxxxx
country: Germany

Da solche Scans bzw. Angriffe auf eine strafbare Aktivität Ihres Klienten hinweisen, ersuchen wir Sie, dementsprechend zu handeln.

Mit freundlichen Grüßen,

Michael Kessler
-rausgeschnitten aus pers. gründen

=========================== letzte Antwort =========================

Hallo Herr Kessler,

vielen Dank für Ihre Nachricht und die Meldung eines Servermissbrauchs.

Bitte richten Sie diese Meldung zusammen mit ausreichenden Nachweisen direkt an unsere Netzwerk-Administration, die Sie unter folgender E-Mail-Adresse erreichen:

abuse@server4you.de


--- ENGLISH VERSION ---


Thank you for your notice.

Please forward the complaint including sufficient proof of the abuse issue to our network administration department at

abuse@server4you.de

Make sure to include the original abuse message (in case of spam), log files or target IP addresses, and date/time.

Mit freundlichen Grüßen / Best regards
xxxxx xxxxx

=================================================================
SERVER4YOU
BSB Service GmbH | Daimlerstraße 9-11 | 50354 Hürth | Germany
Telefon: 0180 - 33 33 120* | Telefax: 02233 - 612 5150

E-Mail: sales@server4you.de | www.server4you.de

HRB 42945 / Amtsgericht Köln, USt-ID DE216 740 823
Geschäftsführer: Jochen Berger, Thomas Strohe
=================================================================
*0,09 EUR/Min. aus dem Festnetz der Deutschen Telekom AG, Mobilfunk ggf. abweichend (ab dem 01.03.2010 max. 0,42 EUR/Min)


==================== komplettes Ticket ==============================

Die obige Mail von mir ging auch an abuse@server4you.de, darauf kam:

### german text below ###

Dear Sir or Madam

Many thanks for the information you sent us.

Our staff has investigated your complaint and checked your data. There are several indications that your complaint is well-grounded.

Therefore, we have initiated further steps to eliminate its cause. Due to organizational and legal reasons, however, we cannot state any further details. Thanks for your understanding.

--

Kind regards
Abuse Desk

### german ###

Sehr geehrte Damen und Herren,

vielen Dank für die eingesendeten Informationen.

Unsere Mitarbeiter sind Ihrer Abuse-Beschwerde nachgegangen und haben Ihre Angaben geprüft. Mehrere Indizien sprechen dafür, dass Ihre Beschwerde begründet ist.

Wir haben daher weitere Schritte in die Wege geleitet, um die Ursache zu beseitigen. Bitte haben Sie Verständnis dafür, dass es uns aus organisatorischen und rechtlichen Gründen nicht möglich ist, weitere Details zu dem Verfahren offen zu legen.

--

Mit freundlichen Grüßen
Ihr Abuse-Desk

Also, was kann ich noch tun um das Ding zu blocken?

 

[cosimo.de]

Wobei die Zeile aus dem Log
nur eine Hetzner und eine locaweb.com.br IP zeigt ....

static.xxxxxxxxx.clients.your-server.de:80xxxxxx 189.126.109.215


---

Zum Problem.
Bei uns filtert die Hardwarefirewall das Grundrauschen.
Mit mod_security läßt sich sowas aber auch filtern / blocken.

z.B.: http://blog.cimt.de/tag/modsecurity/ und hier http://spamcleaner.org/en/misc/w00tw00t.html

 

[Sahasrahla]

Wobei die Zeile aus dem Log
nur eine Hetzner und eine locaweb.com.br IP zeigt ....

static.xxxxxxxxx.clients.your-server.de:80xxxxxx 189.126.109.215


---

Zum Problem.
Bei uns filtert die Hardwarefirewall das Grundrauschen.
Mit mod_security läßt sich sowas aber auch filtern / blocken.

z.B.: http://blog.cimt.de/tag/modsecurity/ und hier http://spamcleaner.org/en/misc/w00tw00t.html

Ist auch richtig so. Mein Server steht ja auch bei Hetzner

Aber w00tw00t.at zeigt auf Server4you. Und bei Locaweb konnte ich nichts in Erfahrung bringen.

Kannst du dafür ein Beispiel liefern? Mit mod_security bin ich nicht so vertraut. Die Dinge die ich bisher hatte, ließen sich per IPtables lösen.

Eine Hardarefirewall - naja, kostet warscheinlich schon einiges :/

 

[cosimo.de]

w00tw00t.at ist die Signatur des Tools und hat imho nichts mit dem Angriff an sich zu tun !

Du wurdest aus Brasilien gescannt Server4you hat imho damit nichts am Hut.

 

[matzewe01]

Muss es sein, dass personenbezogene Daten veröffentlicht werden?
Das betrifft auch die IP.
Ich persönlich wäre darüber nicht begeistert.

Zum anderen muss der Benutzer selbst gar nicht in böser Absicht handeln sondern kann auch eine Sicherheitslücke / eingefangener Schädlung oder durch Dritte missbrauchter und gehacktes System sein.

Zum Grundrauschen, davon gibt es viele und signaturen lassen sich ändern entsprechend ist eine blocken nur temporär hilfreich.
-> Wie sieht denn der apachelog Eintrag vollständig aus?
IPs dürfen gerne gekürzt werden.

 

[Spin-Doc]

Aber w00tw00t.at zeigt auf Server4you. Und bei Locaweb konnte ich nichts in Erfahrung bringen.

Also wenn ich ein Programm schreiben würde, dass deinen Server mit Anfragen auf die URL /bundesregierung.de.ISC.SANS.DFind überfüllt, dann schickst du dein Abuse Mail an die Bundesregierung? Was machste dann wenn ich auf /deinserver.de.ISC.SANS.DFind zugreife? Selbst Abuse?
Abuse geht immer an den Betreiber des Netzes aus welchem die Anfrage kommt, und das ist hier garantiert nicht S4Y.

 

[Sahasrahla]

So bitte, die Daten vom Whois sind raus, die IP Adressen bleiben jedoch drinn. Eine IP allein macht niemanden identifizierbar.

So und jetzt zu eurer Kritik, es kann doch nicht sein dass ich jeden ... auf meinem Server erdulden muss und mich nirgends beschweren kann. Es wird ohne Zweifel seinen Grund haben, dass die Domain die Signatur des Dfind ist.

Der Abuse war warscheinlich sinnlos, ja, aber das ist mir persönlich gerade egal.

Stellt euch mal vor, euer Log ist voll mit solchen einträgen, wie würdet ihr reagieren? Wärt ihr nicht auch sauer? Nein? Selbst wenn, und selbst wenn der Scanner eigentlich nichts tut ausser Scannen, wenn jemand, völlig egal wer auf Vulnerability scannt hat er böse Absichten. Leuchtet das ein? Und wenn ich lese, dass dieses Tool teilweise auf vServer oder schwächer bestückte Roots schon wie DDoS gewirkt hat, da platzt mir der Kragen. Nicht mit mir.

Danke euch.

 

[Spin-Doc]

Jemand bricht in mein Haus ein, klaut alles was ich habe. Ich kann sie nicht verfolgen das sie aus einem 20.000km entfernen Land kommen. Ich bin stinksauer, was mache ich? Klar, ich rufe bei der Polizei an und sage es war der Nachbar, weil er zufällig im Garten stand.

Was würdest du machen wenn du der Nachbar wärst?

Nehmen wir an der Admin bei S4Y hat einen schlechten Tag, und hat seinen Kaffee noch nicht getrunken. Er überfliegt dein Abuse nur, und sieht, oh ja, w00tw00t.at steht bei uns, ich sperre gleich mal den Server.
Was meinst du welche unangenehme Folgen das für den Betreiber des Servers hat? Vorallem da er überhaupt nichts mit der Sache zu tun hat.

 

[matzewe01]

Natürlich darfst Du Dich beschwehren, das ist ja durchaus legititm und von den Providern erwünscht. Aber,

Der Pfarrer in der Kirche kann für Dein Knöllchen wegen Falschparkens vor dem Haus, wenig tun.

Also beim richtigen beschwehren ist die Lösung.

Allerdings würde mich interessieren, was für überlastete Systeme das sind, die mit diesen i.d.R. mit 404 beantworteten Anfragen schon überlastet sind?

Ich ignoriere solche Einträge einfach, da sie für mich keine Relevanz haben.
Anders wäre es, wenn dieses mit einer 200 beantowrtet würde.
Das gehört halt zum Grundrauschen dazu, sowie viele unsägliche BruteForce Attacken auf den sshd...

 

[Sahasrahla]

Jemand bricht in mein Haus ein, klaut alles was ich habe. Ich kann sie nicht verfolgen das sie aus einem 20.000km entfernen Land kommen. Ich bin stinksauer, was mache ich? Klar, ich rufe bei der Polizei an und sage es war der Nachbar, weil er zufällig im Garten stand.

Was würdest du machen wenn du der Nachbar wärst?

Nehmen wir an der Admin bei S4Y hat einen schlechten Tag, und hat seinen Kaffee noch nicht getrunken. Er überfliegt dein Abuse nur, und sieht, oh ja, w00tw00t.at steht bei uns, ich sperre gleich mal den Server.
Was meinst du welche unangenehme Folgen das für den Betreiber des Servers hat? Vorallem da er überhaupt nichts mit der Sache zu tun hat.

Naja, grundsätzlich hast du da schon recht. Aber es deutet eben auch alles darauf hin, dass der Owner von w00tw00t.at da verwickelt ist. Insbesondere sein Verhalten in den Antwort Emails (hab ihm ebenfalls geschrieben, dass er das lassen soll) deutet darauf hin, welche ich, da es ja nicht erwünscht ist, jetzt nicht mehr posten werde. Diese sind sehr frech, stinkig und er zieht sich stets aus der Sache raus und meint "weiß ich doch nicht lass mich doch ey". Zu finden auf Myspace, der Kerl. Alles passt zusammen, Name (Nick HonkXXXX (Zahlen sind rauseditiert), Wohnort etc. Er ist also der Owner der Domain und des Server4you Servers.

Warum sollte jemand ausgerechnet seine Domain zum scannen missbrauchen, geschweige denn hätte ich keine Idee wie er das macht, es sei denn er hätte den Server von S4Y gehackt und der Besitzer weiß es gar nicht. Und in dem Fall, würde der Besitzer seine vertraglichen Pflichten verletzen und dazu auch noch eine Straftat (eventuell, die Absicht des Scanner-Anwenders ist ja klar) unterstützen.

Was würdest du machen wenn du der Nachbar wärst?

Meine Unschuld kundtun, aber nicht stinkig werden.

Allerdings würde mich interessieren, was für überlastete Systeme das sind, die mit diesen i.d.R. mit 404 beantworteten Anfragen schon überlastet sind?

Welche die meistens von Kindern gewartet werden und den besagten auch gehören. Nennen wir es mal "Ich bin 14 aber mach mich ganz einfach 4 Jahre älter" - Kunden. Und bei einem vServer kann man mit Scans sehr leicht flooden. Wie das genau geht, das weiß ich auch nicht, aber es geht.

Also beim richtigen beschwehren ist die Lösung.

Und auch die, die Verdächtig sind, belasten. Wie ich schon sagte, beim brasilianischen Anbieter war nichts zu erreichen. Pure Intoleranz.

Ich ignoriere solche Einträge einfach, da sie für mich keine Relevanz haben.
Anders wäre es, wenn dieses mit einer 200 beantowrtet würde.
Das gehört halt zum Grundrauschen dazu, sowie viele unsägliche BruteForce Attacken auf den sshd...

Natürlich. Relevant können sie aber dann werden, wenn du so wie zB. viele vBulletin Kunden kürzlich den 3.8.6 Patch einspielst, bei dem durch eine Sucheingabe "database" im FAQ für jedermann die Datenbankdaten ausgespuckt werden. Sprich 0day. Was dann? Jemand hat dich durch Scans bereits fokusiert, dann erscheint solch ein 0day Exploit. Was nun?

Vorsorgen, ist das Gebot der Stunde. Die Hackerszene ist aktiv und ich bin einfach ganz seelenruhig obwohl ich sehe, dass es offenbar jemand auf meinen Server absieht. Na klar.

Just my 2 cents.

 

[matzewe01]

Vorsorgen, ist das Gebot der Stunde. Die Hackerszene ist aktiv und ich bin einfach ganz seelenruhig obwohl ich sehe, dass es offenbar jemand auf meinen Server absieht. Na klar.

Just my 2 cents.

Und wie willst Du eine Attacke parrieren, die nicht von einem System stammt, von dem Du gescannt wurdest?

Die Diskussion kann man schon nahezu philosophisch führen.
Ein gewitzter und gewillter Angreifer wird immer einen Weg auf Dein System finden und er wird auch nicht so vorgehen, dass Du davon etwas offensichtlich merkst.
Alles andere oder wenigstesn die grosse Masse des anderen, sind Scripts die teilweise von den gleichen 14 jährigen angewendet werden, wie die "schlechten und langsamen" Systeme halt auch.
Oder wenigsten auf den Rechner laufen oder auf denen die es nicht besser Wissen.

Wie dem auch sei, Du kannst nun die 4 Milliarden potentielle Angriffknoten /mit IP6 werdens ein paar wenige mehr (war ironsich gemeint sind viele mehr) kontaktieren, Dich beschwehren.
Eines hat die Rebellion schon gebracht, Du hast einen Provider damit geschadet, der gar nichts damit zu tun hat.
Auch wenn man glauben mag, dass der Supportmitarbeiter eh da ist.
Er hat auch andere Dinge zu tun und andere Fälle zu bearbeiten.

Zurück zum 0day:
Das ist ein grundsätzliches Problem vor dem keiner gefeit ist.
Ok, ITler mit entsprechendem Know How können einen Patch ggf. prüfen und für sich entscheiden, ob Sie diesen benötigen.
Wobei das erhalten von den Zugangsdaten an der Stelle bei einem gut abgesicherten System erstmal kein so grosses Problem ist.
Wie soll sich jemand externer Verbinden, wenn der Dienst (mysqld) für Ihn nicht erreichbar ist

Wichtiger als der vorbeugende Schutz, der nun nicht als unnütz dargestellt werden soll, ist immer das Parrieren eines Desaster Szenario.
Also schnelle Feststellung, dass es zu einem Einbruch gekommen ist, Beweisssicherung, Entdeckung der Lücke, Behebung der Lücke und anschliessend natürlich auch die erneute Absichecherung z.B. neues Vergeben von Passworten usw.

-> Entsprechend darf man natürlich grundsätzlich ungewöhnliche Aktivitäten nicht ignorieren. Aber es hilft einem auch nicht, wenn man wegen jeder "illegalen" aktivität "Amok" läuft.
Hier hilft nur genaues analysieren, sich auf etwaige Angriffe vorbereiten und im Falle eines Falles schnell reagieren.

Es gibt einige Lösungen die einem dabei unterstützen können, so z.B. snort oder ander IDS Intrucion detection Systems. Aber jeder weiterer Dienst, auch eigene Lösungen, bietet die zusätzliche Gefahr von Verwundbarkeiten.

 

[Whistler]

Aber es deutet eben auch alles darauf hin, dass der Owner von w00tw00t.at da verwickelt ist.

Mit dieser Aussage bewegst Du Dich auf sehr dünnem Eis.

Nur weil ein Substring einer Kennung (das "at" ist übrigens englisch für "bei" und hat mit der österreichischen TLD genau gar nichts zu tun), kannst Du nicht wild um Dich schlagen. Der einzige Beweis, den Du bisher geliefert hast (die IP, die man auch jetzt noch im Thread nachlesen kann) zeigt jedenfalls nach Brasilien. Also wäre abuse@locaweb.com.br Dein Ansprechpartner.
Auf dieses Mißverständnis bist Du übrigens im Thead schon mehrfach hingewiesen worden.

Auf von mir betreuten Systemen wurde alleine im letzten Monat von folgenden IPs mit DFIND gescannt:

38.117.87.249
61.129.14.20
61.178.187.181
61.219.63.176
62.103.39.74
62.141.36.70
62.141.37.187
62.141.46.9
62.215.224.3
64.22.75.54
66.150.221.50
66.79.180.84
67.199.15.214
72.3.253.145
72.51.60.243
72.76.45.125
74.222.1.162
74.52.66.210
77.104.217.233
78.136.88.10
80.154.37.73
82.114.88.190
82.196.2.10
82.33.205.2
83.169.15.88
85.18.119.96
87.106.150.220
87.106.37.20
87.106.90.44
88.149.200.154
88.191.61.110
89.106.8.141
91.121.136.191
91.121.18.131
91.200.46.102
92.103.138.50
94.136.45.55
94.231.190.46
94.249.147.131
94.76.115.103
94.76.226.120
96.31.92.173
170.211.150.39
174.142.192.206
187.45.224.218
189.126.109.215
195.98.164.19
206.51.237.38
208.109.24.143
212.156.50.14
212.156.58.158
212.227.96.67
213.82.206.158
216.246.49.106
217.26.72.29
217.76.144.27

Wie Du siehst, ist Dein "Bekannter" auch mit dabei.

Wenn Du willst, kannst Du jetzt jedem davon hinterherlaufen - mir ist dafür die Zeit zu schade.
Alternativ kannst Du Dich ans ISC (http://isc.sans.edu) wenden - vermutlich aber ebenfalls ergebnislos.

 

[Huschi]

Vorsorgen, ist das Gebot der Stunde.

Dann nutze die Dir vorgeschlagenen Tools wie z.B. mod_security.

Die Hackerszene ist aktiv und ich bin einfach ganz seelenruhig obwohl ich sehe, dass es offenbar jemand auf meinen Server absieht.

Hier muss dringend zwischen "seehlenruhig zusehen" und "unnötig aufregen" unterschieden werden.
Wie schon erwähnt ist so was ein normales Grundrauschen auf Servern.
Der Scriptkiddie der mit solchen Dingern ankommt hat Dich nicht speziell auf dem Kicker sondern scannt eine ganze Reihe von Servern einfach blind durch.

huschi.

 

[matzewe01]

Nur eines als Ergänzung, damit der Thread ersteller auch lernt die Logfiles richtig zu lesen.

Zitat:

static.xxxxxxxxx.clients.your-server.de:80xxxxxx 189.126.109.215 - - [26/Jul/2010:18:38:40 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 400 "-" "-"

Der zu findende Server gibt im Whois folgende Daten aus:

Server Type:
Microsoft-IIS/7.0
IP Address:
85.25.143.105 <http://dns-tools.domaintools.com/ip-tools/?method=traceroute&query=85.25.143.105>
IP Location:
Berlin - Berlin - Server4you Dedicated Server Hosting
Response Code:
200
Domain Status:
Registered And Active Website

Folgendes Beteutet:

GET /w00tw00t.at.ISC.SANS.DFind

Es wurde eine Datei angefordert, die im DocumentRoot (/) liegt und w00tw00t.at.ISC.SANS.DFind lautet.

Es mag nun sein, dass

nslookup w00tw00t.at

Die IP Adresse 85.25.143.105 welche sich zufällig aus einem Teil des Dateinamens ergibt, hat aber nichts mit dem Requestor* zu tun.
* Der der die Seite / Datei per http angefordert hat.

Der, der die Seite angefordert hat, hatte die IP:
189.126.109.215

Ein

whois 189.126.109.215

liefert dann auch schon brauchbare Ergebnisse, an wenn man sich mit seiner Beschwerde wenden kann.

Kein wunder übrigens, dass der "Angeklagte" weniger kooperativ ist.
Wäre ich auch nicht, wenn jemand mir etwas vorwirft, was so gar nicht stimmt.