Ich habe mir gedacht, wir machen mal diesen Thread auf, um Euch in Zukunft darüber zu informieren, was für Angriffe wir so ab und an abzuwehren haben. Wir bekommen jede Stunde eine Mail mit Auszügen aus den Logs vom System zugeschickt, so daß wir aktuell auf Angriffe reagieren können.
Dieser Thread bleibt geschlossen und wird immer mal wieder von mir ergänzt. Ihr könnt über das Security Bulletin hier diskutieren...
Vorkommnis: Heute nacht haben mehrere Server aus Indien und China versucht sich in SSH einzuloggen, das ist die Konsole, über die direkte Befehle am System ausgeführt werden können. Wir haben diese Server nun in der Firewall geblockt und haben auch gleich mal ganz China rausgeworfen.
Hintergrund: Es sind vermutlich ungesicherte Server, die als Relay für Cracker dienen. Von denen aus werden großangelegte Scans nach schwachen Passwörtern gestartet.
Sicherheitseinstufung: Wenig Gefahr, aber wenn man sie weghalten kann vom System, umso besser.
Geändert von Bernd Glasstetter (02.06.2005 um 12:41 Uhr)
Vorkommnis: Über einen Server von American Pro Servers in Secaucus (New Jersey) wurden verschiedene SSH2-Benutzer ausprobiert. Das sah dann im Log so aus:
Hintergrund: Mal wieder ein ungesicherter Server, über den der Versuch übernommen wurde.Jun 2 12:09:46 anubis sshd[19867]: Failed password for illegal user kleemola from 209.152.166.97 port 33213 ssh2
Sicherheitseinstufung: Auch hier geringe Gefahr, er kam nicht rein. Wir haben den Zugang in der Firewall geblockt.
Vorkommnis: Über einen Server der Hamamatsu Technical High School erfolgten wieder Versuche sich diesmal über andere User einzuloggen. Wir haben wieder einen Block in der Firewall gesetzt. Die Versuche waren sehr massiv, insgesamt 136 Benutzer wurden durchprobiert. Und das innerhalb 7 Minuten.
Hintergrund und Sicherheitseinstufung siehe oben.
Geändert von Bernd Glasstetter (02.06.2005 um 21:47 Uhr)
Vorkommnis: Heftige Bruteforce-SSH-Attacke aus Russland. Zwischen 21:09 und 21:30 wurden 1.347 Paßwörter für verschiedene Benutzer ausprobiert. Erneut haben wir den Server geblockt. Der Server ist ein Server der ZAO "Solution Laboratory" in Moskau.
Sicherheitseinstufung: Mittel. Diesmal war doch recht viel an Versuchen dabei und das ist nicht unterzubewerten. Es ist ein Unterschied, wenns 100mal probiert wird oder mehr als 1.000 Mal. Das kann dann schonmal zu Problemen führen.
Vorkommnis: Eine neue Attacke aus Großbritannien. Nur wenige Angriffe. Aber dafür von einem DNS-Server aus.
Sicherheitseinstufung: Niedrig.
So eine kleine, aber feine Konsequenz aus den zuletzt sehr häufig auftretenden Brute Force-Attacken: Wir haben das Login-System für SSH2 umgestellt. Ab jetzt funktioniert das mit privaten und öffentlichen Schlüsseln, ganz so wie bei der Verschlüsselung mit PGP. Diese ist nahezu unknackbar, die Kiddies haben jetzt also noch weniger Chancen bei uns - und der Thread hier wird etwas langsamer wachsen
Vorkommnis: Ohne Zertifikat hat man es über einen Server bei Hanaro Telecom in Korea versucht. Die Sicherheitsmaßnahme hat hier keine Bruteforce-Attacke zugelassen. Trotzdem haben wir einen Block in der Firewall gesetzt.
Sicherheitseinstufung: Sehr niedrig.
Vorkommnis: Heute Nacht um 1:12 gab es zwei Versuche sich mit SSH einzuloggen. Sie kamen aus Bombay in Indien von einem Rechner der über eine Firma namens Videsh Sanchar Nigam Ltd per DSL ins Internet geht. Wie immer haben wir den Rechner in der Firewall ausgesperrt.
Sicherheitseinstufung: Sehr niedrig.
Vorkommnis: Am 9.6. wurde über ein Webserver-Skript Spam verschickt. Wir konnten es bisher nicht identifizieren, welches Skript dafür verantwortlich war. Als Ursprungsort steht nur der Webserver in den Logs. Ein empfangender Server meinte aber "Message body looks like a Nigerian spam message".
Sicherheitseinstufung: Mittel. Es ist nur einmal vorgekommen. Wir arbeiten aber an einer Lösung das komplett zu blockieren.
Vorkommnis: Es hat sich mal wieder jemand versucht per SSH einzuloggen. Diesmal kam der Angriff aus Seoul.
Sicherheitseinstufung: Sehr niedrig.
Vorkommnis: Über Comicsites.de - den Webmailer, um genau zu sein - wurde Spam verschickt. Wir haben den Webmailer abgeschaltet.
Sicherheitseinstufung: Hoch. Leider können verschickte Spams im Ernstfall dazu führen, daß wir auf Spamlisten landen. Das wäre fatal, da dann keine Mails mehr angenommen würden, die von uns aus kommen. Comicsites.de ist zu unwichtig, um dieses Risiko weiter einzugehen. So leid es mir um den Dienst des Webmailers an sich tut.
Vorkommnis: Mal wieder ein Loginversuch per SSH. Der Angriff kam aus Ungarn.
Sicherheitseinstufung: Sehr niedrig.
Vorkommnis: Ein Rechner aus Seoul hat sich versucht mit einem falschen Passwort FTP bei uns einzuloggen.
Sicherheitseinstufung: Niedrig.
Vorkommnis: Rechner aus Spanien und Frankreich haben versucht das Root-Paßwort auszuspähen.
Sicherheitseinstufung: Niedrig. Das Paßwort bekommen die sowieso mit Brute-Force nicht heraus. Und die Rechner haben wir per Firewall gesperrt.
Vorkommnis: Ein SSH-Angriff aus Süd-Korea.
Sicherheitseinstufung: Niedrig, da sofort in Firewall geblockt.
Vorkommnis: Ein sehr massiver SSH-Angriff aus Deutschland. Ein Server bei Schlund und zwar der vom www.javajournal.de
Sicherheitseinstufung: Aufgrund der Massivität mittel. Der Angreifer wurde in der Firewall geblockt. Wir haben auch Schlung informiert. 846 einzelne Versuche innerhalb von acht Minuten. Das war schon eine heftige Brute Force-Attacke.
Geändert von Bernd Glasstetter (07.10.2005 um 09:22 Uhr)
Vorkommnis: Eine etwas heftigere SSH-Attacke aus dem Netz von ovh.net in Frankreich.
Sicherheitseinstufung: Niedrig. Wir haben den Server in der Firewall geblockt.
Vorkommnis: Eine sehr heftige mehr als halbstündige SSH-Attacke aus Atlanta in den USA. Von http://www.1824house.com/ aus wurden zahlreiche Einbruchsversuche unternommen. Da die ASP benutzen ein Windows-Server. Insgesamt waren es 2.530 Versuche in unseren Server einzudringen!
Sicherheitseinstufung: Hoch. So heftig wars schon lange nicht mehr und bei so vielen Versuchen steigt nach und nach die Wahrscheinlichkeit, daß doch mal das richtige Paßwort dabei ist. Wir haben den Server in unserer Firewall geblockt und eine Mail an die Abuse-Abteilung geschickt.
Geändert von Bernd Glasstetter (28.10.2005 um 10:10 Uhr) Grund: Mehr Versuche - Zahl korrigiert
Vorkomnis: Heute noch einmal eine SSH-Attacke, diesmal aus Südkorea. Wird jetzt auch in der Firewall geblockt.
Sicherheitseinstufung: Niedrig. Sie war recht harmlos, mit nur wenigen Versuchen.
Ich habe derzeit gute Lust ganz Asien in der Firewall zu blocken. Heute kam noch ein Angriff aus Südkorea und einer aus Hong Kong hinzu. Mehr als ärgerlich. Wir haben die Angriffe in der Firewall abgewehrt, sie waren wohl auch nicht zu heftig.
Vorkommnis: Ein kurzer Angriff aus Taipei, Taiwan und einer aus Lienz in Österreich.
Sicherheitseinstufung: Niedrig. Es waren nur wenige Versuche.
Vorkommnis: zwei kurze Angriffe aus Südkorea.
Sicherheitseinstufung: Mittel. Wir sind inzwischen etwas besorgt. Wenn alle Nasen lang Angriffe aus ein und demselben Land kommen will das nichts Gutes heißen. Wir recherchieren gerade, ob es möglich ist, das gesamte Klasse A-Netz für Südostasien auszusperren. Ähnliches haben wir schon einmal mit Brasilien gemacht.
In PHP ist ein dickes Sicherheitsloch aufgetreten. Wir haben daher die derzeit bestehende Installation mit einem Sicherheitspatch versehen, der dieses Loch schließt. Außerdem wurde PHP auf dem Server aktualisiert, so dass das Sicherheitsproblem keines mehr sein sollte.
Wir werden in Kürze das Update-Datum auf dann die Version 3.5.1 bekannt geben.
Vorkommnis: SSH-Angriff aus Japan von einem NS-Server der Itaichikuro Inc.
Sicherheitseinstufung: Hoch. Mit über 1.100 Angriffen über einen Zeitraum von 46 Minuten ist dies nicht zu unterschätzen. Es wurden systematisch Benutzernamen durchgetestet. Wir haben den Angreifer per Firewall geblockt und haben die Betreiber per Mail unterrichtet.
Attacken müssen sich nicht immer auf Systemebene zeigen. Es kann auch mal so etwas simples wie ein nicht ausgefülltes Formular auf eine Attacke hinweisen. So geschehen mit dem Kontaktformular auf unserer Firmen-Website. Um die 50 sinnlose und leere Mails trafen ein. Erst war man von einem Scherz ausgegangen, aber weil es doch massiver und in sehr regelmäßigen Abständen war, ging die Recherche los. Das log offenbarte solch sinnlose Einträge:
217.147.41.147 - - [14/Jan/2006:03:49:01 +0100] "GET /favicon.ico HTTP/1.0" 200 18902 "-" "w4rfQgngincpirtsyxlhor"
Die Zeichenfolge für den user-agent - also den Browser - wechselte ständig. Nun war klar, hier war eine Mini-DDoS-Attacke am Laufen. Ein einzelner Server, der ständig sinnlose Anfragen schickte. Jetzt wurde erst einmal das Kontaktformular abgesichert und dann der betreffende Server per Firewall ausgeblendet. Er liegt übrigens in Litauen.
Sicherheitseinstufung: Sehr niedrig. Ein einzelner Server kann keine ernsthafte DDoS-Attacke reiten.
Vorkommnis: Es ist mal wieder etwas eingetreten, was wir einen Major Event nennen. Die Bildergalerie des Comicforums war gehacked worden. Das Problem diesmal: Unser Sicherheitslog hat nur einmal kurz gestern abend etwas eigenartiges verzeichnet. Zu dem Zeitpunkt wurde viermal der Zugriff auf den MySQL-Server verweigert. Und ein Aufruf mit einem sehr eigenartigen Referrer wurde aufgezeichnet.
Wir vermuten, daß hier über nicht ganz sauber programmierten PHP-Code bei Photopost etwas ausgeführt wurde, was dort die Hauptseite ersetzte. Im Moment sind wir aber noch in der forensischen Analyse drin. Eine Übernahme des Servers liegt aber offensichtlich nicht vor.
Sicherheitseinstufung: Sehr hoch. Das ist sicher nicht gesund gewesen. Wir nehmen den Angriff sehr ernst.
Gegenaktionen: Wir haben die beiden IP-Adressen, die mit den Logeinträgen zusammen hängen in der Firewall gesperrt. Darüber hinaus wurde Photopost auf die neueste Version gebracht und wir werden am Wochenende auch noch VBB auf die neueste Version updaten. Wir hatten zwar die Sicherheitspatches eingespielt, aber sicher ist sicher. Das reguläre Update des Servers haben wir auch vorgezogen.
Ergänzungen zu dem oben erzählten:
Wir haben inzwischen die Analyse weiter getrieben und sind auf gleich mehrere trojanische Pferde im TMP-Verzeichnis des Servers gestossen. Diese hatten auch laufende Prozesse angestossen, die wir abgeschaltet haben. Die trojanischen Pferde wurden gesichert und gelöscht. Sie wurden mit dem Apache-User aufgespielt, also über ein vermutlich schadhaftes Skript, das wir nun gerade suchen.
Diese Suche ist übrigens auch der Grund, warum der Server derzeit langsam ist.
Geändert von Bernd Glasstetter (18.02.2006 um 19:12 Uhr)
Berechtigungen
|
Das Splash-Netzwerk: Splashp@ges
- Splashbooks
- Splashcomics
- Splashgames
Unsere Kooperationspartner: Sammlerecke - Chinabooks - Salleck Publications - Splitter - Cross Cult - Paninicomics - Die Neunte Comicsalon Erlangen Lustige Taschenbücher |
Nach oben
Lesezeichen