Hi,
habe bei mir nen Linux-Rechner als Server über DSL im Internet hängen mit DynDNS.
Möchte meinen WebServer weiter betreiben, es tauchen aber jetzt immer öfters Einträge folgender Art in meinen LogFiles auf:
217.85.223.52 - - [24/Feb/2002:06:48:58 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282 "-" "-"
217.85.223.52 - - [24/Feb/2002:06:48:59 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 280 "-" "-"
217.85.223.52 - - [24/Feb/2002:06:49:01 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290 "-" "-"
217.85.223.52 - - [24/Feb/2002:06:49:02 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290 "-" "-"
217.85.223.52 - - [24/Feb/2002:06:49:03 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
Anscheinend versucht da jemand, meinen WebServer zu hacken, dummerweise geht er aber von einer Win-Installation aus (wohl momentan noch mein Glück). Gibt es da irgendeine Möglichkeit, den Angreifer auszusperren??? Auf dem Rechner läuft ein 2.4er Kernel mit Netfilter/IPTables.
Hat jemand ne Ahnung, wie man sowas aus den Apache LogFiles macht, bzw. andere Möglichkeit wäre wohl der Einsatz von Snort, von dem ich bis jetzt noch keine Ahnung habe.
Martin
WebServer Hacker vom System aussperren
-
feltel
- Webmaster
- Beiträge: 10477
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Nur so ne Idee:
1. Du könntest auf Protokollebene sämtliche Verbindungen aus dem "Hacker"-Netz oder von der "Hacker"-IP sperren
2. Du könntest in der Apache-Konfiguration (/etc/apache/httpd.conf) eine ff. Direktive einfügen:
Dabei würde jede HTTP-Verbindungsanfrage von IP-Adresse xxx.xxx.xxx.xxx mit "Not authorized" abgewiesen werden.
Über den Erfolg/Mißerfolg solcher Maßnahmen kann man sich streiten. Da der Großteil der Internet-User per dynamischer IP unterwegs ist, die sich mit jeder Einwahl ändert, bezweifle ich aber, das Du damit wirkungsvoll solche "Angriffe" abwehren kannst.
1. Du könntest auf Protokollebene sämtliche Verbindungen aus dem "Hacker"-Netz oder von der "Hacker"-IP sperren
2. Du könntest in der Apache-Konfiguration (/etc/apache/httpd.conf) eine ff. Direktive einfügen:
Code: Alles auswählen
<directory />
Order deny,allow
allow from all
deny from xxx.xxx.xxx.xxx
</directory>Über den Erfolg/Mißerfolg solcher Maßnahmen kann man sich streiten. Da der Großteil der Internet-User per dynamischer IP unterwegs ist, die sich mit jeder Einwahl ändert, bezweifle ich aber, das Du damit wirkungsvoll solche "Angriffe" abwehren kannst.
Moin,
das mit der MAC Adresse wäre sicherlich das sinnvollste, aber wie vorher erwähnt nicht möglich.
Vielleicht erläutere ich noch ein wenig, was mir da so an Lösung vorschwebt:
Rechner hat ein festes IPTables-Skript, dass täglich neu gestartet wird, immer nach dem Reconnect des DSL-Modems.
Auf der ppp0 lauscht ein Proggi (wohl Snort) und überprüft http Anfragen auf vorkommende Strings wie z.B. /winnt /scripts. Wird ein solcher String gefunden, wird die Remote IP über eine temporäre Erweiterung (bis zum nächsten Reconnect) der IPTables-Filter ausgesperrt.
Alternativ nutzt man ein Logging-Analyse Tool wie SWATCH oder Analog um in der Apache access.log nach den Strings zu suchen, und ebenfalls temporäre Filter anlegt.
So kommt man eigentlich auch recht gut mit dynamischen IPs der Remote-Rechner zurecht: Die IPs werden maximal 24h gesperrt, so dass Surfer, die durch Zufall eine der gesperrten IPs bekommen nach 24h den WebServer-Dienst auch wieder nutzen können. Angreifer werden sofort nach dem ersten Versuch ausgesperrt.
Habe mal probiert, per Hand während einer Attacke über iptables -A INPUT -s IP des Angreifers -j DROP den Angreifer auszusperren, jedoch erfolglos, was meinem Verständnis wohl daran liegt, dass er die Regel hinten angefügt hat, ein Einfügen am Anfang würde sicherlich Abhilfe schaffen...
Leider habe ich zu den Tools nur kurze Beschreibungen in meinem Security-Buch gefunden, muss also noch ein wenig man-Pages und HowTos wälzen...
Vielleicht ist ja jemand schon weitergekommen, ansonsten gibts demnächst mal wieder einen Status-Report.
Martin
das mit der MAC Adresse wäre sicherlich das sinnvollste, aber wie vorher erwähnt nicht möglich.
Vielleicht erläutere ich noch ein wenig, was mir da so an Lösung vorschwebt:
Rechner hat ein festes IPTables-Skript, dass täglich neu gestartet wird, immer nach dem Reconnect des DSL-Modems.
Auf der ppp0 lauscht ein Proggi (wohl Snort) und überprüft http Anfragen auf vorkommende Strings wie z.B. /winnt /scripts. Wird ein solcher String gefunden, wird die Remote IP über eine temporäre Erweiterung (bis zum nächsten Reconnect) der IPTables-Filter ausgesperrt.
Alternativ nutzt man ein Logging-Analyse Tool wie SWATCH oder Analog um in der Apache access.log nach den Strings zu suchen, und ebenfalls temporäre Filter anlegt.
So kommt man eigentlich auch recht gut mit dynamischen IPs der Remote-Rechner zurecht: Die IPs werden maximal 24h gesperrt, so dass Surfer, die durch Zufall eine der gesperrten IPs bekommen nach 24h den WebServer-Dienst auch wieder nutzen können. Angreifer werden sofort nach dem ersten Versuch ausgesperrt.
Habe mal probiert, per Hand während einer Attacke über iptables -A INPUT -s IP des Angreifers -j DROP den Angreifer auszusperren, jedoch erfolglos, was meinem Verständnis wohl daran liegt, dass er die Regel hinten angefügt hat, ein Einfügen am Anfang würde sicherlich Abhilfe schaffen...
Leider habe ich zu den Tools nur kurze Beschreibungen in meinem Security-Buch gefunden, muss also noch ein wenig man-Pages und HowTos wälzen...
Vielleicht ist ja jemand schon weitergekommen, ansonsten gibts demnächst mal wieder einen Status-Report.
Martin
So,
das manuelle Ändern der IPTables funktioniert jetzt, statt
iptables -A INPUT -s IP_des_Angreifers -j DROP
iptables -I INPUT -s IP_des_Angreifers -j DROP
benutzen, damit wird die Regel an den Anfang der INPUT-Chain gestellt.
Log-File-Analysierer kann man wohl erstmal nach hinten stellen, müsste man als Cron-Job jede Minute (oder Sekunde für Echtzeit-Shutz) ausführen
Snort sieht da schon besser aus: lauscht am Interface und wertet den Traffic an Hand einiger Regeldefinitionen aus. Es läßt sich so konfigurieren, dass bei Übereinstimmung protokolliert wird, eine Message an die Konsole oder übers Netzwerk eine Win-PopUp-Meldung geschickt wird bzw. das Paket komplett verworfen wird. Das bei Woody installierbare Package ist was älter, unter http://www.snort.org gibts die aktuelle Version 1.8.3 und eine umfangreiche Regelsammlung.
Werde jetzt mal die Nacht abwarten und morgen sehen, was die Logfiles noch zu melden haben...
Martin
das manuelle Ändern der IPTables funktioniert jetzt, statt
iptables -A INPUT -s IP_des_Angreifers -j DROP
iptables -I INPUT -s IP_des_Angreifers -j DROP
benutzen, damit wird die Regel an den Anfang der INPUT-Chain gestellt.
Log-File-Analysierer kann man wohl erstmal nach hinten stellen, müsste man als Cron-Job jede Minute (oder Sekunde für Echtzeit-Shutz) ausführen
Snort sieht da schon besser aus: lauscht am Interface und wertet den Traffic an Hand einiger Regeldefinitionen aus. Es läßt sich so konfigurieren, dass bei Übereinstimmung protokolliert wird, eine Message an die Konsole oder übers Netzwerk eine Win-PopUp-Meldung geschickt wird bzw. das Paket komplett verworfen wird. Das bei Woody installierbare Package ist was älter, unter http://www.snort.org gibts die aktuelle Version 1.8.3 und eine umfangreiche Regelsammlung.
Werde jetzt mal die Nacht abwarten und morgen sehen, was die Logfiles noch zu melden haben...
Martin
Neues von der Front
Also ich hab mir jetzt mal den Spass erlaubt mal zu sehen, wer hinter den Angreifern steckt...
Also von Snort Meldung machen lassen, danach ein
host IP_des_Angreifers
nmap -P0 IP_des_Angreifers
und siehe da, es kommt immer eine dynamische IP der Telekom raus (DSL), auf dem Rechner sind relativ viele Ports offen (>25), und auf ihnen läuft jeweils ein Web-Server (muss wohl ein MS IIS sein, da Snort auch Code Red v2 Attacks protokolliert) mit der Homepage des Besitzers.
Die Homepages sind ja recht lustig anzusehen, nur die vielen Fenster meiner AntiVirensoftware sind ein wenig störend...
Wer einen Rundumschlag relativ aktueller Viren und Würmer haben möchte, dem stelle ich gerne einen Auszug der Logfiles zur Verfügung...
Habe noch einen Tipp an die Webmaster hinterlassen, vielleicht wissen die ja garnichts von ihren Untermietern...
Snort funktioniert also recht zuverlässig, momentan lasse ich über die Standardregeln erstmal nur alles mitloggen, das abändern in blocken werde ich dann am Wochenende vornehmen...
So viel erstmal von der Front...
Martin
Also von Snort Meldung machen lassen, danach ein
host IP_des_Angreifers
nmap -P0 IP_des_Angreifers
und siehe da, es kommt immer eine dynamische IP der Telekom raus (DSL), auf dem Rechner sind relativ viele Ports offen (>25), und auf ihnen läuft jeweils ein Web-Server (muss wohl ein MS IIS sein, da Snort auch Code Red v2 Attacks protokolliert) mit der Homepage des Besitzers.
Die Homepages sind ja recht lustig anzusehen, nur die vielen Fenster meiner AntiVirensoftware sind ein wenig störend...
Wer einen Rundumschlag relativ aktueller Viren und Würmer haben möchte, dem stelle ich gerne einen Auszug der Logfiles zur Verfügung...
Habe noch einen Tipp an die Webmaster hinterlassen, vielleicht wissen die ja garnichts von ihren Untermietern...
Snort funktioniert also recht zuverlässig, momentan lasse ich über die Standardregeln erstmal nur alles mitloggen, das abändern in blocken werde ich dann am Wochenende vornehmen...
So viel erstmal von der Front...
Martin
-
Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: WebServer Hacker vom System aussperren
Ist dies ein Rekord?
Hat schon jemand mehr als 15 Jahre geschafft?
Ich fing an zu lesen und dachte mir "Kernel 2.4? Typisch Debianforum.de user .."
Hat schon jemand mehr als 15 Jahre geschafft?
Ich fing an zu lesen und dachte mir "Kernel 2.4? Typisch Debianforum.de user .."
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!-
heisenberg
- Beiträge: 4202
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: WebServer Hacker vom System aussperren
Willkommen im Internet. Das ist der Normalfall. Sieh zu, dass Dein Server und deine Anwendungen(Webseiten) sicher konfiguriert sind. Solche Requests können irgendwann auch mal etwas Last verursachen, vor allem dann, wenn PHP-Scripte, die ja etwas mehr Resourcen brauchen als statische HTML-Dateien ständig auf Schwachstellen bzw. Passworte durchprobiert werden.eTrax hat geschrieben:Anscheinend versucht da jemand, meinen WebServer zu hacken...
Dann kannst Du mit
fail2ban arbeiten. Das überwacht Logfiles anhand von Deinen Mustern und kann darauf basierend Aktionen ausführen(In der Vorlage sind z. B. iptables-sperren drin.) Am besten noch mit steigenden Bannzeiten für Wiederholungstäter. (Google: f2bloop)-
owl102
Re: WebServer Hacker vom System aussperren
Der komplette Beitrag ist lediglich ein Ausschnitt aus dem Beitrag viewtopic.php?p=1508#p1508 . Also ist der Grabschänder wohl ein Bot, der demnächst anfängt zu spammen...Lord_Carlos hat geschrieben:Ist dies ein Rekord?
Hat schon jemand mehr als 15 Jahre geschafft?
@heisenberg Eine ernsthafte Antwort nach 15 Jahren? Meinst du das ernst?
Re: WebServer Hacker vom System aussperren
Bitte nicht auf sowas antworten, dann machts auch Sinn, den Beitrag wieder zu löschen... DANKE!
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht