Werden wir gehackt?

Lohnt sich nicht - die skriptkiddys sind zu bloed um sowas zu verstehen...

Würd ich persönlich jetzt nicht allzu kritisch einstufen. Wenns mehr wird, müsste man sich etwas überlegen.
Hab mir einen Root Server gemietet bei einem Hoster - leider weiß ich nicht was mein Vorgänger mit dieser IP getan hat, jedenfalls hab ich am Tag zirka 200 Anmeldeversuche von Orte aus der ganzen Welt....
Ziemlich ärgerlich, weil die Hälfte des Logs aus diesen Abort´s besteht. Somit tut man sich relativ schwer, wenn man was sucht. ;)

lg

Einfach ignorieren oder Software wie fail2ban benutzen um die IPs nach zu vielen Versuchen zu blocken.

Hallo,
obwohl dieser "Angriff" nicht schlimm ist würde ich mir Gedanken über die Passwort Komplexität machen.

Gruß
Mike

Hallo,

wie mein Vorposter schon schrieb ändere bitte die Passwörter regelmäßig ab. Und wenn ich es richtig sehe, nutzt Dein Webhoster oder Du selbst Confixx zumindest zu sehen an dem Benutzernamen. Daher bitte auch die anderen Zugangsdaten etwa zum Beispiel einmal im Monat ändern.

Ansonsten ist dieses Verhalten nicht auffällig sollte aber dennoch beobachtet werden, habe ich bei meinen Postfächern auch ab und wann.

Beste Grüße

Sendmen

Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes "sinnloses" Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle Lösung wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins Netz machen (Meist die Firewall).

Grüße...
Max

Das mit dem Ruten setzten wird nicht viel bringen das sich die "Angreifer" IP's meist ändern. (so meine Erfahrung)

Gruß
Mike

Da hast du komplett Recht - ich würde das auch niemandem empfehlen außer er beobachten den Zugriff von ständig der gleichen IP. Dann empfehle ich wohl eher, mal das Subnetz des lokalen Providers herauszufinden (Ripe.net zeigt dir das Netz inklusive Subnetz-Maske) und dieses zu sperren. Sowas haben wir mal mit chinesischen Netzen gemacht und Schwupps, weg war die aktuelle Spam-Welle

Das sind einträge von Bots die deine Seiten Spidern....
wenn du das nicht möchtest dann solltest du deine .htaccess umschreiben!

Bis dann Sky

Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher POP3/IMAP-Server mit ner .htaccess was anfangen kann?!?

Ist doch ein Linus Server.

Quelle Einleitung

Stell dir mal die Frage, ob dein Mailserver überhaupt via POP oder IMAP oder generell aus Brasilien erreicht werden muss.

Ich habe für unseren Server diese Frage mit "nein" beantwortet und eine pfsense Firewall mit der pfBlocker-Extension vorgeschaltet. Damit lassen sich sämtliche IP-Netze jedes einzelnen Landes sperren. Oder man sperrt einfach eine Auswahl aus den "Top Spammers", denen auch Brasilien angehört.
Ähnliche Funktionen bieten wohl auch andere FW-Lösungen. Andernfalls kannst du immer noch einzelne Netze sperren, doch da ist o.g. Lösung mit Fail2Ban komfortabler.

Grüße

Und was hat linux mit der ueberlegung zu tun das ipam/pop3 nix mit htaccess dateien anfangen koennen - da diese fuer webserver sind?

@maretz: ich denke die botschaft ist angekommen^^

Dafür gibt es tools. Und sei es, daß man einfach eine paßwort-Tester drauf losläßt und sobald der Erfolg hat, man dem User sagt, er muß es ändern.

lsk

Es gibt genügend Tools, die paßwörter wiederherstellen/erraten. Eine google-Suche führt da sehr schnell zum Ziel. Da diese tools Dual-Use-Güter sind, so ähnlich wie Uranstäbe, gibt es Forenregeln, die dieses Thema einschränken. Andere Foren sind da nicht ganz so restiktiv, die haben aber vielleicht mehr Geld um sich Anwälte zu leisten oder sind außerhalb der Jurisdiktion von DE. Daher kann ich Dich nur auf google verweisen.

lks

du schreibst ---> Es ist ja kein Firmenserver, sondern einer mit Kunden.
was ist es dann.

ich habe mir mal die mühe gemacht und habe die ip meinem firefox anvertraut. siehe da. ein recht ungesicherter apache webserver. ist sogar über ssh zu erreichen.

betreibst du zufälliger weise webmail auf diesem so unbekannten server?

respekt - der tipp ist gut... Und jetzt überlege bitte mal was du machst wenn der Admin dich anruft und dir erklärt das er grade dein PW gehackt hat...

a) du bist froh und änderst das
b) du sche***t den erstmal völlig zusammen was der sich einbildet und gehst ggf. sogar vor Gericht damit

Nun - ich würde vermutlich zu b tendieren -> denn weisst DU ob die Person X nicht dasselbe PW für EBay, Online-Banking, Amazon usw. verwendet? D.h. der Admin hätte jetzt den Vollzugriff auf alle diese Konten - klasse!

Von daher: Respektabler Tipp um seinen Job schnell loszuwerden und derart viel Ärger mit dem Gesetz zu bekommen das man die nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an einen Server zu kommen!

Das ist falsch. Man macht das anders: Man hat eeine Betriebsvereinbarung und sagt den leuten, daß ein paßwortchecker läuft, und wenn die Ihre Paßwörter zu einfach wählen, der diese finden wird (schriftlich!) udn läßt die das auch abzeichenen. Und dann kan man anrufen udn sagen, daß der Paßwort-checker das Paßwort gefunden hat. Man kann das sogar so machen, daß keiner außer dem User das Paßwort erfährt.


Ist dann die regel.


Und fällt damit auf die Schnauze, wenn der Admin es richtig gemacht hat.


Dann ist der selber doof. Und wenn es eien Betriebsvereinbarung gibt (sollte es imerm geben), kann der sich aufregen soviel er will.


Das passiert nur dann, wenn man seinen Job nicht richtig macht und die User nicht mit einbezieht.

lks

PS: Ich arbeite schon seit 18 Jahre in der IT-Security. Da habe ich schon manche Sachen erlebt.


Noch'n Nachtrag: OK, ich hätte das mit der Betriebsvereinbarung mit in den Tipp schreiben sollen. Aber ansonsten ist das eine Möglichkeit die User zu erziehen.

Hmm - würde mich interessieren ob jemand diese BV unterzeichnet... Also wenn mir jemand eine BV vorlegt bei der ich dem Admin faktisch erlaube meine Passwörter zu hacken dann wäre das unterzeichnen vermutlich eher nicht meine erste überlegung...

das ist nichts anderesa, als wenn der Admin die leute darauf hinweist, keine Paßwörter unter die Tastatur zu kleben und auch sagt, daß er regelmäßig nachschauen wird, ob da was ist. Und derjenige, der ein paßwort drunterklebt, bekomtm halt einen Anschiß.

Und geuanso bekommen die Leute gesagt, was daß sie ein vernuünfties Paßwort zu wählen habenm, daß nciht so leicht zu erraten ist. Du kannst zwar die Systeme anweisen, daß sie mindestkriterien prüfen, aber die Idioten sind erfinderisch und generieren trotzdem leicht zu erratende Paßworte. Und wenn man eine Prüfalgehrythmus laufen läßt, der diese "einfachen" Paßwörter duchrcheckt, ist das durchaus legitim.

Man mu vorhder die leute natüclich schulen, wie sie sichere paßwörter generieren udn natürlich die Paßwörter im Betrieb nicht auch für andere Accounts verwendet werden sollten. Udn wenn die Leute so dämlch sind, für facebook die gleichen Paßwörter zu verwenden wie für Ihren VPN-zugang in die Frma, wird es höchste Zeit diesen Leuten auf die Finger zu hauen.

lks


PS: Bei vernünftig gewählten Paßwörtern wird i.d.R. gar nichts passieren. Die meisten Fälle die mir untergekommen sind, sind wirklich zu einfach gewählte Paßwörter, die Trotz komlexitätsanfoderungen" zu leicht durch Wörterbuchattacken zu finden waren. Und die sind dann wirklich eine Gefahr für die unetrnehmenssicherheit.

hallo ,

wenn nicht, muessen Sie sich eine andere Firma suchen.

Solange klar ist was die Passwortrichtlinien angeht und die Benutzer
sich daran halten wird der Passwortchecker oder aehnliches
nichts knacken koennen.

Es geht ja darum die Mitarbeiter zu sensebelisieren..
Wenn die fuer Ihren Mailaccount nur Ihren Nachnamen als Passwort
benutzen und jede Welt darauf zugreifen kann, dann kann das fuer
das Unternehmen boese enden.

Gruss

mit "hör auf mich zu belatschern" wirst du jeden spam-bot in die flucht treiben... not
sperr einfach die IP - oder verbiete generell icmp von extern.

Gruß...
Max

Hallo,

icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....

Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru

Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>


Gruss

Generell stimmt das, in seinem Fall ist es eh zu spät, da wird nur noch eine IP-Sperre helfen...

wieso nicht? ist vielleicht ne Superbraut aus Brasilien...
mit mega Ti.. ok ich hoer schon auf...

Wie Du am Anfang geschrieben hast ist es das typische Grundrauschen, leider fuehrt das immer wieder zum Erfolg.
Denn sonst wuerden die sowas nicht machen.

/OT {
@maretz "Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher POP3/IMAP-Server mit ner .htaccess was anfangen kann?!? "

es gibt Bots(sripte) die genau das machen. Machst nur ein Script mit nmap das die Maildienste abfragst verpackst das in ein Script was dann loginversuche startet. Kein Hexenwerk selbst fuer Mausschubser gibt es Anleitungen.. ? } /OT

Wieder zurueck...
Loesung:
Du musst den (Mail)server abhaerten.
Wenn das ne z.B. eine Debian Buechse ist schaust Du hier:

http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html#c ...

Und so eine Diskussion ist noetig damit einige mal auf den Prompt gebracht werden.

Gruss

Ergaenzung: Auf dem server von dem die Loginversuche gestartet wurden laueft nen Debian squeeze mit telnet !!


Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-17 22:12 CEST
Nmap scan report for static.datacenter1.com.br (200.155.64.132)
Host is up (0.23s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6+squeeze2 (protocol 2.0)
| ssh-hostkey: 1024 02:05:03:b3:01:60:93:b9:46:6a:5a:af:e6:96:a4:3a (DSA)
|_2048 21:4b:eb:8e:31:80:be:0f:d8:3f:69:8f:07:d8:3a:4f (RSA)
23/tcp filtered telnet
80/tcp open http Apache httpd 2.2.16 ((Debian))
|_html-title: Site doesn't have a title (text/html).
111/tcp open rpcbind
| rpcinfo:
| 100000 2 111/udp rpcbind
| 100003 2,3,4 2049/udp nfs
| 100005 1,2,3 35100/udp mountd
| 100021 1,3,4 43512/udp nlockmgr
| 100024 1 50308/udp status
| 100000 2 111/tcp rpcbind
| 100003 2,3,4 2049/tcp nfs
| 100005 1,2,3 42186/tcp mountd
| 100024 1 49290/tcp status
|_100021 1,3,4 60507/tcp nlockmgr
646/tcp filtered ldp
2049/tcp open rpcbind
Service Info: OS: Linux

und whois schmeisst uns folgendes raus:

% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use (http://registro.br/termo/en.html),
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2012-09-17 17:41:27 (BRT -03:00)

inetnum: 200.155.64/20
aut-num: AS16397
abuse-c: ABC204
owner: Alog-02 Soluções de Tecnologia em Informática S.A.
ownerid: 003.672.254/0001-44
responsible: Area de Engenharia - Alog
country: BR
owner-c: AEC81
tech-c: GRC66
inetrev: 200.155.64/20
nserver: ns1.datacenter1.com.br
nsstat: 20120917 AA
nslastaa: 20120917
nserver: ns3.datacenter1.com.br
nsstat: 20120917 AA
nslastaa: 20120917
created: 20011018
changed: 20040917

nic-hdl-br: ABC204
person: Abuse @ comDominio
e-mail: abuse@comdominio.com.br
created: 20030625
changed: 20100715

nic-hdl-br: AEC81
person: Area de Engenharia - comDominio
e-mail: registro@alog.com.br
created: 20020909
changed: 20120626

nic-hdl-br: GRC66
person: Gerencia de Redes - comDominio
e-mail: suportesp@alog.com.br
created: 20020909
changed: 20071226

% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.


Hier hat nen Student/User aus Alog-02 Soluções de Tecnologia em Informática S.A. einen scan durchgefuehrt.

Also kannst Du Dich hier beschweren...


Gruss


P.S Telnet filtered ... das wollen wir doch mal sehen weil da koenntest Du Dich dann beschweren..

Gruss