get rid of ScriptKiddies und sonstigen Angreifern

LonesomeWalker

Wem's noch nicht passiert ist, kann's noch passieren.
Dann ist es gut, zu wissen, was alles schief gehen kann, und wie man sich dagegen wehrt...

Dieses Tutorial entsteht auf vielfachen Wunsch.
Sicher ist das Tutorial nicht komplett, daher würde ich mich sehr freuen, wenn sich die Leute per PN melden, damit das Tutorial nach und nach wachsen, oder sich der aktuellen Rechtslage anpassen kann.

Um das oben Geschriebene gleich zu korrigieren:
Ich gehe davon aus, daß ich alles, was ich hier schreibe, im Rahmen des legal Möglichen halte.
Sollte ich auch nur ansatzweise was falsch schreiben: KORRIGIERT MICH!
Auch gebe ich mit dem Tutorial hier keinerlei Gewähr auf Rechtsgültigkeit ab; dazu müßte ich Jura studieren ;-) face-wink
(ihr wißt schon, die übliche Klausel, damit Frank keinen Ärger mit den Aktentaschen bekommt...)

Genug Rechtsklauberei...


Erst mal gilt es herauszufinden, was genau passiert ist.
War es wirklich ein Hack-Versuch, oder ist nur was an der Konfiguration des Rechners/Netzwerks falsch?

Hierzu sollten Logfiles von verschiedenen Systemdiensten und Programmen Auskunft geben.

Übliche Auffälligkeit ist das Scannen vorhandener Ports oder Verzeichnisse.

Zum Beispiel, auf einem Webserver die 404er-Logs.
Aktuell grasen div. Bots die Webserver auf Verzeichnisse wie www.domain.de/phpmyadmin, oder auch einfach nur auf www.domain.de/admin ab.

Wenn der Response 404 ist, wird weitergescannt, solange, bis entweder eine bestimmte Exploit-Liste abgearbeitet ist, oder bis eine Input-Form gefunden wurde.

Tools hierzu gibt es zuhauf, mit ein wenig Geschick bei Google oder auf einschlägig bekannten Seiten findet man das Gesuchte.


Wenn man solche Fehlermeldungen öfter in seinen Logfiles findet, sollte man das Aufsetzen eines "Honeypots" in Betracht ziehen.

Honeypots (zu deutsch: Honigtöpfe) sind speziell präparierte Systeme, die nach außen vorgeben, gewisse Sicherheitslücken zu haben.
In Wirklichkeit ist aber nach einem erfolgreichen Hack-Versuch nichts zu holen.


Aber auch hier scheiden sich die Geister:
Die einen sagen, was für eine Zeit- und Ressourcen-Verschwendung, die anderen hingegen analysieren mit so einem Honeypot die Angriffs-Versuche, und können damit bei ausreichender Fachkenntnis bereits bestehende Systeme absichern.

Den Sinn so eines Honigtopfes muß jeder für sich selbst erschließen.


Die potentiellen Angriffsmöglichkeiten werde ich hier nicht genauer auflisten, da ich angehenden Crackern ja nicht das Leben leicht machen möchte.
(Die Definition von Hacker vs. Cracker erspare ich hier...)



Was aber nun, wenn feststeht, ja, es war ein Angriffsversuch?

Okay, kein Angriffsversuch ohne IP.
Die meisten Attacken werden nicht über einen Proxy gefahren; das machen nur die Pro's.
(und wenn ein Pro nervt, dann nur weil ihm langweilig ist)

Somit ist es ein leichtes, herauszufinden, von wo der Angriff kam.
Aktuell finden die meisten aus Übersee statt.
Dumm, daß dort die meisten Leute eine feste IP haben. Email an den Provider dort, und schon ist in den meisten Fällen Ruhe.
Wo man die Email-Adresse des Providers her bekommt?

Es gibt mehrere Listen, auf der die IP-Ranges weltweit gelistet sind; leider sind diese Listen meist nicht tages-aktuell...
Dennoch sollten sie ausreichen, um angehende Skript-Kiddies loszuwerden.

Alternativ hierzu kann man die IP-Range, aus der der Angriff kam, einfach mal eine Woche aussperren.
(sofern man nicht Kunden/Mitarbeiter aus dieser IP-Range hat; z.B. ist dies hier für die IP-Range Deutschland nicht realisierbar!)


Hm, der Hacker/Cracker nervt immer noch...

Jetzt ist es an der Zeit, zurückzuschlagen.
Rechtlich begibt man sich hier auf eine bisher noch nicht genau definierte Zone.
Was aber in jedem Falle legal ist, und schon einige abschreckt:

ping IP.des.Angreifers -t

In vielen Fällen ist mit einer einfachen Ping-Flut der Angreifer erst mal baff.
Alternativ hierzu kann man auch einen Full-Range Portscann ausführen, diesen wenn moglich auch eine gewisse Weile fortführen.

Ein Portscann bietet die zusätzliche Möglichkeit, je nach Konfiguration des Angreifers, interessante Informationen über den Angreifer zu sammeln.

So, nachdem der Gegenüber spätestens jetzt wissen sollte, daß wir auf ihn aufmerksam geworden sind, sind von den potentiellen 100% der Angreifer jetzt schon ca. 95% abgeschreckt.

Die restlichen 5% sind entweder sehr ignorant, oder einfach nur unglaublich unerfahren.

Letzere kann man mit eigenen Mitteln torpedieren.
Erstere sind harte Brocken, denen man nur mit viel KnowHow beikommt.


Detaillierte Problem-Lösungen kann ich leider nicht öffenlich posten, sonst würden sie sicherlich nicht nur von Betroffenen verwendet werden.

So long, die Basis für ein (hoffentlich) wachsendes Tutorial ist hiermit gelegt.


Bitte denkt bei Euren Ergänzungen daran, daß sie rechtlich einwandfrei sind.
Bedenkliches werde ich hier zum Schutze von Frank nicht zulassen. :-( face-sad



Lonesome Walker

Content-Key: 34908

Url: https://administrator.de/contentid/34908

Ausgedruckt am: 18.01.2022 um 11:01 Uhr

Mitglied: gnarff
gnarff 21.08.2006 um 01:59:55 Uhr
Goto Top
hallo LSW!
ich moechte mir die freiheit herausnehmen, sie in wenig zu korrigieren:

1. die meisten angriffe kommen nicht aus uebersee, sondern aus den ehemaligen ostblockstaaten.

2. die meisten gehen ueber einen proxy

3. das pingen erschreckt niemanden.
das ist ein einkalkuliertes risiko. der angreifer geht ueber andere rechner, wie sie wissen, und noch bevor ihr ping seinen rechner erreicht, schaltet der einfach ab...

4. auch in uebersee haben die meisten leute keine feste rechneradresse

5. ein "full-range portscann" nuetzt ihnen nur etwas, wenn sie den angreifer auch wirklich lokalisieren konnten

saludos
gnarff
Mitglied: 16568
16568 21.08.2006 um 02:32:22 Uhr
Goto Top
Zu 1:
Ich weiß ja nicht, wo Du gerade wieder steckst, aber ich rede in dem Tutorial von Deutschland/Germany/Alemagne/...
Und hier kommen die meisten Angriffe (zumindest in den Logfiles meiner Kunden, die ich betreue...) aus Übersee/U.S.A.

Zu 2:
Hm, sicher sind das einige, aber die meisten sind eben von Script-Kiddies.
Die haben das Wort zwar schon mal gehört...

Zu 3:
Hm, ich kenne da andere Erfahrungsberichte, aber okay.
Aber agree, daß gute Angreifer nach diesem Motto vorgehen.
Die heutigen Angreifer sind aber meist Script-Kiddies, und die haben von Zombie-Netzwerken was munkeln gehört.

Zu 4:
Ach, dazu sage ich jetzt einfach mal nix, vielleicht definieren wir Übersee nur anders.
(oder kennen Übersee auch nur anders...)

Zu 5:
Agree.


Lonesome Walker
PS: Ich habe von Konzept Gruppe S.A. noch immer nix gehört oder gelesen...
Mitglied: Biber
Biber 21.08.2006 um 05:08:45 Uhr
Goto Top
Ist mir doch mal wieder ein paar Sterne wert, LSW ;-) face-wink

Zu eurem Haarspaltepunkt 1 "wo wohnen denn die meisten Skriptkiddies?"
Ich denke, das ist eine müßige Diskussion.
Kommt ja auch darauf, welche Webadresse/IP die nun grad gesucht/gefunden haben und wo.
Rein statistisch (auch das könnte ich mit eigenen Erfahrungen untermauern) werden die meisten Nervbolzen wohl in China wohnen.
Wie gesagt, rein statistisch.. gibt ja nachweislich mehr ChinesInnen als BulgarInnen oder TschechInnen. ;-) face-wink

Und die tauchen auch häufig in meinen Protokollen und Honeypots auf.

Bei Spammails ist es (bei mir) ein gänzlich anderes Verteilungsverhältnis:
Uneinholbarer Spitzenreiter bei Viagra, Cialis, Enlargement- und ähnlichen Produkten sind die prüden Amis
gefolgt von den Polen, weit abgeschlagen auf den Plätzen 3 und 4 Frankreich und Canada.
Bei Superschnäppchenangeboten und Geheimtipps an der Börse ist China nur Zweiter hinter dem United Kingdom.

Lässt sich aber ebensowenig verallgemeinern wie die ungebetenen Gäste bei Euren Kunden.
Könnte ebenso passieren, dass einer Eurer Kunden zufällig ausschließlich von einer Clique aus dem Bayrischen Wald belästigt wird oder von einem vereinsamten Skriptkid auf Langeoog.

Grüße
Biber
Mitglied: gemini
gemini 21.08.2006 um 08:19:27 Uhr
Goto Top
vielleicht definieren wir Übersee nur
anders.
(oder kennen Übersee auch nur
anders...)
Durchaus möglich http://www.uebersee.com/ :-) face-smile
Mitglied: Biber
Biber 21.08.2006 um 09:12:38 Uhr
Goto Top
:-D face-big-smile
@gemini

Um auch Deinen berechtigten Einwand abzusichern (gnarff und LSW lesen ja manchmal Kommentare SEHR genau und ihre gegenseitigen vermutlich mit der Uhrmacherlupe):

Ortsnamen innerhalb Deutschlands:

Warum in die Ferne reisen wenn die Ferne liegt so nah:

09322 Amerika
83236 Übersee
Kalifornien (post. zu Schönberg)
Texas (post. zu Burgwedel)
Neu England (post. zu Westerstede)
Kanada (post. Münchenbernsdorf)
Brasilien (post. zu Schönberg)
Grönland (post. zu Sommerland)
England (post. zu Buch)
Holland (post. zu Büsum)
Schweiz (post. zu Messenkamp)
Norwegen (post. zu Lastrup)
Schweden (post. zu Mohrkirch)
Korsika (post. zu Wald-Michelbach)
Rußland (post. Holzdorf)
Sibirien (post. zu Butjadingen)
Afrika (post. zu Lage)
Ägypten (post. Neuenkirchen)
Kamerun (post. Soltau)
Türkei (post. zu Wittmund)

Quelle für so etwas kann nur Martin Gansels geniale Seite sein: Die skurrilsten Ortsnamen


Weiterhin fröhliche Arbeitswoche und Winkzzz in den Süden
Biber
Mitglied: 16568
16568 21.08.2006 um 10:27:07 Uhr
Goto Top
> vielleicht definieren wir Übersee
nur
> anders.
> (oder kennen Übersee auch nur
> anders...)
Durchaus möglich
http://www.uebersee.com/ :-) face-smile

Aufhören, ich kann nicht mehr :-D face-big-smile

Lonesome Walker
Mitglied: 16568
16568 21.08.2006 um 10:29:30 Uhr
Goto Top
@Biber:

Mich würde interessieren, wie Du den Thread hier gefunden hast.
Den hab' ich still und heimlich verfaßt...

Abbonierst Du grundsätzlich die witzigsten Themen des Tages?


Lonesome Walker
PS: Bei meinen Kunden is China auf Platz 2, aber hey... :-D face-big-smile
Mitglied: Biber
Biber 21.08.2006 um 13:26:04 Uhr
Goto Top
@lsw
Mich würde interessieren, wie Du den Thread hier gefunden hast.
Den hab' ich still und heimlich verfaßt...

Du weißt doch, meine kleinen Bätche...
Wenn Kommentare von Dir und gnarff in einem Thread auftauchen, dann wird mir sofort eine SMS geschickt.. :-D face-big-smile

Liebe Grüße (an Euch beide natürlich!)
Biber
Mitglied: gnarff
gnarff 26.08.2006 um 00:26:36 Uhr
Goto Top
@lsw

Zu 1:
>aber ich rede in dem Tutorial von
Deutschland/Germany/Alemagne/...
Und hier kommen die meisten Angriffe
(zumindest in den Logfiles meiner Kunden, die
ich betreue...) aus Übersee/U.S.A.

-nur weil die logfiles ihnen sagen, dass die angriffe aus USA kommen, heisst das noch lange nicht, dass sie -die angriffe- auch wirklich von dort kommen. der angriffs-server ist nicht immer gleich der angreifer...

Zu 2:
Hm, sicher sind das einige, aber die meisten
sind eben von Script-Kiddies.
Die haben das Wort zwar schon mal
gehört...

-script-kiddies sind nicht so bloed, wie das die propaganda uns glauben machen will...


Zu 4:

vielleicht definieren wir Übersee nur
anders.
(oder kennen Übersee auch nur
anders...)
-uebersee, ueber den bzw. die see. im allgemeinen versteht man darunter ja die USA. das gross-amerikanische reich ist jedoch noch nicht geboren -gott sei dank- deshalb gehoert zu uebersee wohl doch gemeinhin auch der gesamte amerikanische kontinent.
ich persoenlich neige allerdings zu der ansicht, dort wo ich ueber die see fahre, also von deutschen oder sonstigen gestaden aufbreche um an anderen wieder anzulanden; dann befinde ich mich also auch in uebersee...naja!


PS: Ich habe von Konzept Gruppe S.A. noch
immer nix gehört oder gelesen...

-das wird schon noch...

@Biber
zitat:[...]gnarff und LSW lesen ja manchmal Kommentare SEHR genau und ihre gegenseitigen vermutlich mit der Uhrmacherlupe):

-ich benutze ein elektronenmikroskop...danke fuer die gruesse!

saludos
gnarff
[wie immer in costa rica]
Mitglied: Raphael
Raphael 04.10.2006 um 10:56:04 Uhr
Goto Top
Das Tutorial finde ich gut. Allerdings finde ich dass noch ein link fehlt .. und zwar zu einer whois-page...
Meiner Meinung nach ist folgnede ganz gut:
http://www.dnsstuff.com/

hat neben Whois auch funktionen wie DNSlookup, ping, traceroute, usw.
Man kann ebenfalls seine eigene (oder fremde) IPs überprüfen ob sie auf einer Spam-Blacklist eingetragen wurden, etc...

Gruss Raphael
Mitglied: BlackVale
BlackVale 05.03.2007 um 22:52:15 Uhr
Goto Top
sorry. Aber da ist www.whois.to doch um einiges komfortabler. Und wenn es um eine .de Domain geht, dann ganz einfach über die deNIC (mal für unsere Greenhorns) unter www.denic.de.

Gruß BlackVale
Mitglied: 16568
16568 06.03.2007 um 09:23:50 Uhr
Goto Top
Freut mich, daß sich hier wieder mal jemand beteiligt, und die Sachen ergänzt.


Lonesome Walker
Mitglied: Jere
Jere 14.05.2008 um 16:18:10 Uhr
Goto Top
Schönes, allgemein gehaltenes TUT.
Mehr von dir in der Qualität!

Danke und Gruß
J
Mitglied: Hannes-Schurig
Hannes-Schurig 06.01.2009 um 12:06:42 Uhr
Goto Top
Schönes Tutorial für den generellen Überblick ohne mit Details zu verwirren.

Aber Pings zum ausbremsen? Ist das nicht nen Tick zu altmodisch?
Maximal würde ich ein Programm schreiben, was hunderte von gleichzeitigen Verbindungen aufbaut und in jeder mit dem ping -t ackert aber selbst das sollte bei einer 2Mbit oder mehr nicht mehr ziehen, right?
Mitglied: mhumer
mhumer 02.04.2009 um 18:26:47 Uhr
Goto Top
Ich suche immer noch das TUT in diesem Bildzeitungsschem.

Das einzig lehrreiche daran ist der 2-Satz-Abschnitt mit den Honeypots, den der eine oder andere vielleicht nocht nicht gehört hat.
Aber Tutorial finde ich doch etwas sehr überzogen als Themenbeschrieb. Editorial vielleicht.

Der Autor hat selbst geschrieben, die User (wir) sollen selbst weitere Infos hinzufügen.
Leider gab es im Anschluss an das posting lediglich eine Grundsatzdiskussion, wo mehr Weizenkörner wachsen (aka des Kaisers Bart).

Generell läßt sich ein Tutorial über Serverschutz schon schreiben, auch wenn mir persönlich die exakte Fachkenntnis fehlt.
Die implizierte Aussage "man möchte die Cracker nicht warnen & vorbereiten" halte ich für Blödsinn.

Wenn der Hinweis auf Videoüberwachung Einbrecher abschreckt, dann ist das doch gut.
Schliesslich geht es um den Datenschutz und nicht um Fangquoten. Und Security by obscurity ist Blödfug hoch 10, das wisst ihr sicher auch alle.

Alles in allem war das Thema nicht mehr als profanes Suchmaschinenfutter ohne inhaltlichen Nährwert - man kann es schmerzlos löschen.
Heiß diskutierte Beiträge
question
Windows Exchange-Server benötige ich eine Domain?Bella21Vor 1 TagFrageWindows Server21 Kommentare

Hallo alle zusammen, ich bin neu auf dem Gebiet. Ich habe Exchange Server auf einen Windows Server 2012 installiert. Nach der Installation fertig war, ist ...

question
WEBSEITE zerschossen. Brauche dringend hilfe! :) gelöst wieoderwasVor 1 TagFrageWebentwicklung5 Kommentare

Hallo zusammen, ich wollte eben auf der Typo3 Seite von unseren Unternehmen die Erweiterung der IT Kanzlei installieren. Nun erhalte ich beim Webseiten aufruf folgenden ...

question
Scanner Log4JjoergVor 1 TagFrageSicherheits-Tools15 Kommentare

Hallo zusammen, Log4J ist ja mittlerweile schon ein paar Tage her aber immer noch aktuell. Ich bin aktuell auf der Suche nach einem Scanner der ...

question
Welcher Switch Hersteller kann trotz Silikonknappheit ordentlich liefern?NordicMikeVor 1 TagFrageSwitche und Hubs7 Kommentare

Moin zusammen, dieses Ubiquiti Zeug muss weg, das kann ja nicht einmal QoS, auch, wenn der Unifi Controller mit seiner zentralen Verwaltung gut zu bedienen ...

question
DNS neu einrichtensmschmidtVor 1 TagFrageDNS14 Kommentare

Hallo zusammen, hab wieder ein Problem: Hab einen neuen Windows Server 2022 (Server3) in unsere Domain aufgenommen, zum DC gemacht und DHCP und DNS installiert. ...

question
Telefonie noch im alten Standort erneuern?GrinskeksVor 1 TagFrageTK-Netze & Geräte7 Kommentare

Hallo zusammen, bei meinem neuen Arbeitgeber steht der Umzug in ein neues Firmengebäude und eine Aktualisierung der Telekommunikation an. Wir hatten einen Support zur betagten ...

question
Eigene Hardware + VLAN an Vodafone Kabel gelöst darkness08Vor 1 TagFrageInternet12 Kommentare

Guten Morgen Zusammen, ich möchte gerne an einen Vodafone Kabelanschluss eigene Hardware betreiben. Da es sich hierbei nicht um meinen eigenen Anschluss handelt fehlt mir ...

question
Reverse Proxy über 2 netzwerkegiorgio123Vor 1 TagFrageNetzwerke13 Kommentare

Hallo Zusammen Ich habe einen Problem und komme alleine nicht weiter Ich habe einen Revers Proxy im NAT-Bereich der Firewall2. Nun muss dieser Reverseproxy muss ...