16568
Goto Top

get rid of ScriptKiddies und sonstigen Angreifern

Wem's noch nicht passiert ist, kann's noch passieren.
Dann ist es gut, zu wissen, was alles schief gehen kann, und wie man sich dagegen wehrt...

Dieses Tutorial entsteht auf vielfachen Wunsch.
Sicher ist das Tutorial nicht komplett, daher würde ich mich sehr freuen, wenn sich die Leute per PN melden, damit das Tutorial nach und nach wachsen, oder sich der aktuellen Rechtslage anpassen kann.

Um das oben Geschriebene gleich zu korrigieren:
Ich gehe davon aus, daß ich alles, was ich hier schreibe, im Rahmen des legal Möglichen halte.
Sollte ich auch nur ansatzweise was falsch schreiben: KORRIGIERT MICH!
Auch gebe ich mit dem Tutorial hier keinerlei Gewähr auf Rechtsgültigkeit ab; dazu müßte ich Jura studieren face-wink
(ihr wißt schon, die übliche Klausel, damit Frank keinen Ärger mit den Aktentaschen bekommt...)

Genug Rechtsklauberei...


Erst mal gilt es herauszufinden, was genau passiert ist.
War es wirklich ein Hack-Versuch, oder ist nur was an der Konfiguration des Rechners/Netzwerks falsch?

Hierzu sollten Logfiles von verschiedenen Systemdiensten und Programmen Auskunft geben.

Übliche Auffälligkeit ist das Scannen vorhandener Ports oder Verzeichnisse.

Zum Beispiel, auf einem Webserver die 404er-Logs.
Aktuell grasen div. Bots die Webserver auf Verzeichnisse wie www.domain.de/phpmyadmin, oder auch einfach nur auf www.domain.de/admin ab.

Wenn der Response 404 ist, wird weitergescannt, solange, bis entweder eine bestimmte Exploit-Liste abgearbeitet ist, oder bis eine Input-Form gefunden wurde.

Tools hierzu gibt es zuhauf, mit ein wenig Geschick bei Google oder auf einschlägig bekannten Seiten findet man das Gesuchte.


Wenn man solche Fehlermeldungen öfter in seinen Logfiles findet, sollte man das Aufsetzen eines "Honeypots" in Betracht ziehen.

Honeypots (zu deutsch: Honigtöpfe) sind speziell präparierte Systeme, die nach außen vorgeben, gewisse Sicherheitslücken zu haben.
In Wirklichkeit ist aber nach einem erfolgreichen Hack-Versuch nichts zu holen.


Aber auch hier scheiden sich die Geister:
Die einen sagen, was für eine Zeit- und Ressourcen-Verschwendung, die anderen hingegen analysieren mit so einem Honeypot die Angriffs-Versuche, und können damit bei ausreichender Fachkenntnis bereits bestehende Systeme absichern.

Den Sinn so eines Honigtopfes muß jeder für sich selbst erschließen.


Die potentiellen Angriffsmöglichkeiten werde ich hier nicht genauer auflisten, da ich angehenden Crackern ja nicht das Leben leicht machen möchte.
(Die Definition von Hacker vs. Cracker erspare ich hier...)


Was aber nun, wenn feststeht, ja, es war ein Angriffsversuch?

Okay, kein Angriffsversuch ohne IP.
Die meisten Attacken werden nicht über einen Proxy gefahren; das machen nur die Pro's.
(und wenn ein Pro nervt, dann nur weil ihm langweilig ist)

Somit ist es ein leichtes, herauszufinden, von wo der Angriff kam.
Aktuell finden die meisten aus Übersee statt.
Dumm, daß dort die meisten Leute eine feste IP haben. Email an den Provider dort, und schon ist in den meisten Fällen Ruhe.
Wo man die Email-Adresse des Providers her bekommt?

Es gibt mehrere Listen, auf der die IP-Ranges weltweit gelistet sind; leider sind diese Listen meist nicht tages-aktuell...
Dennoch sollten sie ausreichen, um angehende Skript-Kiddies loszuwerden.

Alternativ hierzu kann man die IP-Range, aus der der Angriff kam, einfach mal eine Woche aussperren.
(sofern man nicht Kunden/Mitarbeiter aus dieser IP-Range hat; z.B. ist dies hier für die IP-Range Deutschland nicht realisierbar!)


Hm, der Hacker/Cracker nervt immer noch...

Jetzt ist es an der Zeit, zurückzuschlagen.
Rechtlich begibt man sich hier auf eine bisher noch nicht genau definierte Zone.
Was aber in jedem Falle legal ist, und schon einige abschreckt:

ping IP.des.Angreifers -t

In vielen Fällen ist mit einer einfachen Ping-Flut der Angreifer erst mal baff.
Alternativ hierzu kann man auch einen Full-Range Portscann ausführen, diesen wenn moglich auch eine gewisse Weile fortführen.

Ein Portscann bietet die zusätzliche Möglichkeit, je nach Konfiguration des Angreifers, interessante Informationen über den Angreifer zu sammeln.

So, nachdem der Gegenüber spätestens jetzt wissen sollte, daß wir auf ihn aufmerksam geworden sind, sind von den potentiellen 100% der Angreifer jetzt schon ca. 95% abgeschreckt.

Die restlichen 5% sind entweder sehr ignorant, oder einfach nur unglaublich unerfahren.

Letzere kann man mit eigenen Mitteln torpedieren.
Erstere sind harte Brocken, denen man nur mit viel KnowHow beikommt.


Detaillierte Problem-Lösungen kann ich leider nicht öffenlich posten, sonst würden sie sicherlich nicht nur von Betroffenen verwendet werden.

So long, die Basis für ein (hoffentlich) wachsendes Tutorial ist hiermit gelegt.


Bitte denkt bei Euren Ergänzungen daran, daß sie rechtlich einwandfrei sind.
Bedenkliches werde ich hier zum Schutze von Frank nicht zulassen. face-sad


Lonesome Walker

Content-ID: 34908

Url: https://administrator.de/tutorial/get-rid-of-scriptkiddies-und-sonstigen-angreifern-34908.html

Ausgedruckt am: 24.12.2024 um 13:12 Uhr

gnarff
gnarff 21.08.2006 um 01:59:55 Uhr
Goto Top
hallo LSW!
ich moechte mir die freiheit herausnehmen, sie in wenig zu korrigieren:

1. die meisten angriffe kommen nicht aus uebersee, sondern aus den ehemaligen ostblockstaaten.

2. die meisten gehen ueber einen proxy

3. das pingen erschreckt niemanden.
das ist ein einkalkuliertes risiko. der angreifer geht ueber andere rechner, wie sie wissen, und noch bevor ihr ping seinen rechner erreicht, schaltet der einfach ab...

4. auch in uebersee haben die meisten leute keine feste rechneradresse

5. ein "full-range portscann" nuetzt ihnen nur etwas, wenn sie den angreifer auch wirklich lokalisieren konnten

saludos
gnarff
16568
16568 21.08.2006 um 02:32:22 Uhr
Goto Top
Zu 1:
Ich weiß ja nicht, wo Du gerade wieder steckst, aber ich rede in dem Tutorial von Deutschland/Germany/Alemagne/...
Und hier kommen die meisten Angriffe (zumindest in den Logfiles meiner Kunden, die ich betreue...) aus Übersee/U.S.A.

Zu 2:
Hm, sicher sind das einige, aber die meisten sind eben von Script-Kiddies.
Die haben das Wort zwar schon mal gehört...

Zu 3:
Hm, ich kenne da andere Erfahrungsberichte, aber okay.
Aber agree, daß gute Angreifer nach diesem Motto vorgehen.
Die heutigen Angreifer sind aber meist Script-Kiddies, und die haben von Zombie-Netzwerken was munkeln gehört.

Zu 4:
Ach, dazu sage ich jetzt einfach mal nix, vielleicht definieren wir Übersee nur anders.
(oder kennen Übersee auch nur anders...)

Zu 5:
Agree.


Lonesome Walker
PS: Ich habe von Konzept Gruppe S.A. noch immer nix gehört oder gelesen...
Biber
Biber 21.08.2006 um 05:08:45 Uhr
Goto Top
Ist mir doch mal wieder ein paar Sterne wert, LSW face-wink

Zu eurem Haarspaltepunkt 1 "wo wohnen denn die meisten Skriptkiddies?"
Ich denke, das ist eine müßige Diskussion.
Kommt ja auch darauf, welche Webadresse/IP die nun grad gesucht/gefunden haben und wo.
Rein statistisch (auch das könnte ich mit eigenen Erfahrungen untermauern) werden die meisten Nervbolzen wohl in China wohnen.
Wie gesagt, rein statistisch.. gibt ja nachweislich mehr ChinesInnen als BulgarInnen oder TschechInnen. face-wink

Und die tauchen auch häufig in meinen Protokollen und Honeypots auf.

Bei Spammails ist es (bei mir) ein gänzlich anderes Verteilungsverhältnis:
Uneinholbarer Spitzenreiter bei Viagra, Cialis, Enlargement- und ähnlichen Produkten sind die prüden Amis
gefolgt von den Polen, weit abgeschlagen auf den Plätzen 3 und 4 Frankreich und Canada.
Bei Superschnäppchenangeboten und Geheimtipps an der Börse ist China nur Zweiter hinter dem United Kingdom.

Lässt sich aber ebensowenig verallgemeinern wie die ungebetenen Gäste bei Euren Kunden.
Könnte ebenso passieren, dass einer Eurer Kunden zufällig ausschließlich von einer Clique aus dem Bayrischen Wald belästigt wird oder von einem vereinsamten Skriptkid auf Langeoog.

Grüße
Biber
gemini
gemini 21.08.2006 um 08:19:27 Uhr
Goto Top
vielleicht definieren wir Übersee nur
anders.
(oder kennen Übersee auch nur
anders...)
Durchaus möglich http://www.uebersee.com/ face-smile
Biber
Biber 21.08.2006 um 09:12:38 Uhr
Goto Top
face-big-smile
@gemini

Um auch Deinen berechtigten Einwand abzusichern (gnarff und LSW lesen ja manchmal Kommentare SEHR genau und ihre gegenseitigen vermutlich mit der Uhrmacherlupe):

Ortsnamen innerhalb Deutschlands:

Warum in die Ferne reisen wenn die Ferne liegt so nah:

09322 Amerika
83236 Übersee
Kalifornien (post. zu Schönberg)
Texas (post. zu Burgwedel)
Neu England (post. zu Westerstede)
Kanada (post. Münchenbernsdorf)
Brasilien (post. zu Schönberg)
Grönland (post. zu Sommerland)
England (post. zu Buch)
Holland (post. zu Büsum)
Schweiz (post. zu Messenkamp)
Norwegen (post. zu Lastrup)
Schweden (post. zu Mohrkirch)
Korsika (post. zu Wald-Michelbach)
Rußland (post. Holzdorf)
Sibirien (post. zu Butjadingen)
Afrika (post. zu Lage)
Ägypten (post. Neuenkirchen)
Kamerun (post. Soltau)
Türkei (post. zu Wittmund)

Quelle für so etwas kann nur Martin Gansels geniale Seite sein: Die skurrilsten Ortsnamen


Weiterhin fröhliche Arbeitswoche und Winkzzz in den Süden
Biber
16568
16568 21.08.2006 um 10:27:07 Uhr
Goto Top
> vielleicht definieren wir Übersee
nur
> anders.
> (oder kennen Übersee auch nur
> anders...)
Durchaus möglich
http://www.uebersee.com/ face-smile

Aufhören, ich kann nicht mehr face-big-smile

Lonesome Walker
16568
16568 21.08.2006 um 10:29:30 Uhr
Goto Top
@Biber:

Mich würde interessieren, wie Du den Thread hier gefunden hast.
Den hab' ich still und heimlich verfaßt...

Abbonierst Du grundsätzlich die witzigsten Themen des Tages?


Lonesome Walker
PS: Bei meinen Kunden is China auf Platz 2, aber hey... face-big-smile
Biber
Biber 21.08.2006 um 13:26:04 Uhr
Goto Top
@lsw
Mich würde interessieren, wie Du den Thread hier gefunden hast.
Den hab' ich still und heimlich verfaßt...

Du weißt doch, meine kleinen Bätche...
Wenn Kommentare von Dir und gnarff in einem Thread auftauchen, dann wird mir sofort eine SMS geschickt.. face-big-smile

Liebe Grüße (an Euch beide natürlich!)
Biber
gnarff
gnarff 26.08.2006 um 00:26:36 Uhr
Goto Top
@lsw

Zu 1:
aber ich rede in dem Tutorial von
Deutschland/Germany/Alemagne/...
Und hier kommen die meisten Angriffe
(zumindest in den Logfiles meiner Kunden, die
ich betreue...) aus Übersee/U.S.A.

-nur weil die logfiles ihnen sagen, dass die angriffe aus USA kommen, heisst das noch lange nicht, dass sie -die angriffe- auch wirklich von dort kommen. der angriffs-server ist nicht immer gleich der angreifer...

Zu 2:
Hm, sicher sind das einige, aber die meisten
sind eben von Script-Kiddies.
Die haben das Wort zwar schon mal
gehört...

-script-kiddies sind nicht so bloed, wie das die propaganda uns glauben machen will...


Zu 4:

vielleicht definieren wir Übersee nur
anders.
(oder kennen Übersee auch nur
anders...)

-uebersee, ueber den bzw. die see. im allgemeinen versteht man darunter ja die USA. das gross-amerikanische reich ist jedoch noch nicht geboren -gott sei dank- deshalb gehoert zu uebersee wohl doch gemeinhin auch der gesamte amerikanische kontinent.
ich persoenlich neige allerdings zu der ansicht, dort wo ich ueber die see fahre, also von deutschen oder sonstigen gestaden aufbreche um an anderen wieder anzulanden; dann befinde ich mich also auch in uebersee...naja!


PS: Ich habe von Konzept Gruppe S.A. noch
immer nix gehört oder gelesen...

-das wird schon noch...

@Biber
zitat:[...]gnarff und LSW lesen ja manchmal Kommentare SEHR genau und ihre gegenseitigen vermutlich mit der Uhrmacherlupe):

-ich benutze ein elektronenmikroskop...danke fuer die gruesse!

saludos
gnarff
[wie immer in costa rica]
Raphael
Raphael 04.10.2006 um 10:56:04 Uhr
Goto Top
Das Tutorial finde ich gut. Allerdings finde ich dass noch ein link fehlt .. und zwar zu einer whois-page...
Meiner Meinung nach ist folgnede ganz gut:
http://www.dnsstuff.com/

hat neben Whois auch funktionen wie DNSlookup, ping, traceroute, usw.
Man kann ebenfalls seine eigene (oder fremde) IPs überprüfen ob sie auf einer Spam-Blacklist eingetragen wurden, etc...

Gruss Raphael
BlackVale
BlackVale 05.03.2007 um 22:52:15 Uhr
Goto Top
sorry. Aber da ist www.whois.to doch um einiges komfortabler. Und wenn es um eine .de Domain geht, dann ganz einfach über die deNIC (mal für unsere Greenhorns) unter www.denic.de.

Gruß BlackVale
16568
16568 06.03.2007 um 09:23:50 Uhr
Goto Top
Freut mich, daß sich hier wieder mal jemand beteiligt, und die Sachen ergänzt.


Lonesome Walker
Jere
Jere 14.05.2008 um 16:18:10 Uhr
Goto Top
Schönes, allgemein gehaltenes TUT.
Mehr von dir in der Qualität!

Danke und Gruß
J
Hannes-Schurig
Hannes-Schurig 06.01.2009 um 12:06:42 Uhr
Goto Top
Schönes Tutorial für den generellen Überblick ohne mit Details zu verwirren.

Aber Pings zum ausbremsen? Ist das nicht nen Tick zu altmodisch?
Maximal würde ich ein Programm schreiben, was hunderte von gleichzeitigen Verbindungen aufbaut und in jeder mit dem ping -t ackert aber selbst das sollte bei einer 2Mbit oder mehr nicht mehr ziehen, right?
mhumer
mhumer 02.04.2009 um 18:26:47 Uhr
Goto Top
Ich suche immer noch das TUT in diesem Bildzeitungsschem.

Das einzig lehrreiche daran ist der 2-Satz-Abschnitt mit den Honeypots, den der eine oder andere vielleicht nocht nicht gehört hat.
Aber Tutorial finde ich doch etwas sehr überzogen als Themenbeschrieb. Editorial vielleicht.

Der Autor hat selbst geschrieben, die User (wir) sollen selbst weitere Infos hinzufügen.
Leider gab es im Anschluss an das posting lediglich eine Grundsatzdiskussion, wo mehr Weizenkörner wachsen (aka des Kaisers Bart).

Generell läßt sich ein Tutorial über Serverschutz schon schreiben, auch wenn mir persönlich die exakte Fachkenntnis fehlt.
Die implizierte Aussage "man möchte die Cracker nicht warnen & vorbereiten" halte ich für Blödsinn.

Wenn der Hinweis auf Videoüberwachung Einbrecher abschreckt, dann ist das doch gut.
Schliesslich geht es um den Datenschutz und nicht um Fangquoten. Und Security by obscurity ist Blödfug hoch 10, das wisst ihr sicher auch alle.

Alles in allem war das Thema nicht mehr als profanes Suchmaschinenfutter ohne inhaltlichen Nährwert - man kann es schmerzlos löschen.