Aufstand der Doofen

peterle

peterle

Forenkasper
Sagt mal, ich bemerke seit vielleicht einer oder zwei Wochen einen massiven Anstieg an wirklich tumben Einlogversuchen auf meinen Servern.
Das war eine ganze Zeit mal wesentlich besser geworden, aber irgendwie frage ich mich, ob es vielleicht ein paar neue Botnetze gibt, die nichts anderes zu tun haben oder ob ich da ganz falsch liege.
 
Das gibt es immer mal wieder. Das mit dem Anstieg auf eigenen Server scheint eher zufallsbedingt zu sein. Zumindest ist das der Schluss zu dem ich gekommen bin, als ich mir das mal genauer angesehen habe.

Es gibt wohl auch gewisse Wellen, aber die können auch komplett spurlos an einem vorbeigehen, während vom "Hintergrundrauschen" auch mal mehr mitbekommen kann.

Bei mir selbst gibt es derzeit eine Flaute.
 
Entweder kannst du SSHGuard das Log auswerten lassen um die Quell IP Addressen für ein Stunden sperren zu lassen oder den SSH Port ändern.
 
Ganz lustig ist, die Kinders mal in eine Art Honeypod reinzulassen und zuzuschauen, was sie versuchen. Bei meinem letzten Versuch in die Richtung haben es zwar mehrere Personen geschafft sich einzuloggen, aber als ihre Linux-Anleitungen nicht funktionierten, was auch ganz schnell wieder Schicht im Schacht. :)
 
Yamagi schrieb:
Ganz lustig ist, die Kinders mal in eine Art Honeypod reinzulassen und zuzuschauen, was sie versuchen. Bei meinem letzten Versuch in die Richtung haben es zwar mehrere Personen geschafft sich einzuloggen, aber als ihre Linux-Anleitungen nicht funktionierten, was auch ganz schnell wieder Schicht im Schacht. :)
Zum Vergrößern anklicken....

Wie hast du denn den Honeypod gebastelt? Mit ner Jail? Oder was kannst du da empfehlen?
 
@ath: Du kennst das Honeynet Project?

Ich mache das alle paar Jahre mal (immer wieder ein wenig anders), aber meistens werden nur irgendwelche langweiligen Skripte ausgeführt. Manche sammeln die.
 
Yamagi schrieb:
Ganz lustig ist, die Kinders mal in eine Art Honeypod reinzulassen und zuzuschauen, was sie versuchen. Bei meinem letzten Versuch in die Richtung haben es zwar mehrere Personen geschafft sich einzuloggen, aber als ihre Linux-Anleitungen nicht funktionierten, was auch ganz schnell wieder Schicht im Schacht. :)
Zum Vergrößern anklicken....

Du könntest dafür eine Linux Maschine (VM) nehmen. Da kann man den Kids gleich die Supertolle (Rootkit)Software schmackhaft machen und den Spiess umdrehen. Macht auch Laune, wenn man gerade mal etwas Zeit übrig hat. Was kann ich dafür wenn die Software auf dem Rechner des Angreifers komische Dinge tut. :D
 
@ed: Ist aber nicht so ganz legal.

@mark: Das ist doch Standard? Ich dachte nur die Bruteforces stören dich irgendwie und ich habe mich gefragt was es unmöglich machen könnte ~/.ssh/config zu ändern oder was hast du mit "jedoch geht das nicht immer" gemeint?

Selbst habe ich SSH auch am Standardport laufen, aber wheel-Accounts sind ohne Passwort, root verwendet ein sicheres (am vServer braucht der leider eines) und darf sowieso nicht über SSH rein und alle Anderen haben auch sichere Passwörter und sind ziemlich rechtefrei. Außerdem läuft noch ein fail2ban, das sich auch um andere Dinge kümmert.
 
Athaba schrieb:
@ed: Ist aber nicht so ganz legal.
Zum Vergrößern anklicken....

Aber Athaba, auf meinem Server darf ich tun und lassen was ich will. Ich zwinge ja niemanden dazu, in meinen Server einzudringen und sich von dort Sachen zu kopieren. Ich sehe daran nicht illegales. Anzeigen wird mich der Angreifer sicher auch nicht.

Man muss aber schon etwas kriminelle Energie besitzen um in die erste Ebene zu kommen. Einfach das Wörterbuch durchprobieren reicht nicht.
 
@ath0: Honeyd ist meines Wissens in den ports, aber am Projekt wird wohl nicht mehr viel entwickelt. Trotzdem kann man es verwenden und sich seine Pots bauen.

@ed: Naja, was man selbst als legal erachtet deckt sich (leider) nicht immer mit dem was ein Rechtsgelehrter meint und die Tatsache, dass es nicht zur Anklage kommt macht es soweit ich weiß nicht legal. Ich finde es moralisch auch nicht verwerflich, aber möchte davon bzw. der Diskussion hier abraten. :)
 
ath0 schrieb:
Wie hast du denn den Honeypod gebastelt?
Zum Vergrößern anklicken....
Das war eine Lösung für arme Männer. Einen alten, ausgesonderten Computer, der viel zu viel Strom benötigt. Dann den Port 22 am NAT-Router auf ihn weitergeleitet, darauf eine Dyndns-Adresse (allerdings eine nicht ganz so offensichtliche, mein DNS-Provider bietet sowas auch für jede beliebige dort gehostete Domain an) und die durch ein paar Mal erwähnen in öffentlich gelogten IRC-Chans und in Foren wie heise.de bekannt gemacht. Danach ein paar Tage warten und der Spaß beginnt. Die Session habe ich mitgeschnitten, indem ich beim Einloggen des Angreifers per Script eine Kombination aus watch(8) und script(1) gestartet habe...
 
Die habe ich lokal gelassen. Wie gesagt, war eine Lösung für arme Männer. Aus einer schnellen Idee heraus in 30 Minuten zusammengefrickelt. Wenn man wirklich einen Honeypod bauen will, sollte man es besser / intelligenter / eleganter machen. :)
 
Ich möchte euch warnen. Das Aufsetzen des Honeypts ist wahrscheinlich das Interessanteste. Danach wartet man und hat dann meist nur kleine, relativ uninteressante Fänge.

Den Honeypot aufzustellen ist wirklich interessant und man kann dabei viel lernen. Außerdem macht es Spaß, wenn man sich ganze Netzwerke ausdenkt. Allein deshalb ist es durchaus empfehlenswert. Allerdings kann das sehr viel Arbeit werden und nach oben hin gibt es kaum Grenzen. Es gibt ganze Frameworks wo man die gleich mit Analysetools für die Attacken/Malware bereitstellt. Seid nur nicht enttäuscht, wenn das was ihr einfangt eher langweilig ist. Das ist also eher etwas für große Langweile, weshalb das letzte Mal schon einige Zeit zurück liegt.

Achja, seid vorsichtig damit. Das Ganze kann auch nach hinten los gehen. Es gibt durchaus Leute, die das ganze nochmal umdrehen und solche Systeme gezielt Angreifen. Das ganze sollte deshalb in einer wirklich dafür geeigneten Umgebung stattfinden. Des weiteren kenne ich zumindest Geschichten davon, dass es persönlich wird. Bei solchen Einbrüchen stehen ja mitunter auch ganze Organisationen dahinter.
 
Athaba schrieb:
Achja, seid vorsichtig damit. Das Ganze kann auch nach hinten los gehen. Es gibt durchaus Leute, die das ganze nochmal umdrehen und solche Systeme gezielt Angreifen. Das ganze sollte deshalb in einer wirklich dafür geeigneten Umgebung stattfinden. Des weiteren kenne ich zumindest Geschichten davon, dass es persönlich wird. Bei solchen Einbrüchen stehen ja mitunter auch ganze Organisationen dahinter.
Zum Vergrößern anklicken....

Wenn ich das mal mache werde ich das auf jeden Fall nicht mit einem Rechner in meinem Heimnetz versuchen. Das würde garantiert nach hinten los gehen :D

Zum Thema: Ich habe in meinem Router den port umgebogen und seit dem ist ruhe. Ich hatte in der Berufschule immer das porblem das irgend wer meinte meinen Rechner scannen bzw DOSen zu müssen.

In meiner sysctl.conf hatte ich diese einträge gemacht.
Code: 
net.inet.tcp.icmp_may_rst=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1

Ist zwar nicht ganz dein Problem aber die Blackhole Optionen könnten wenigstens etwas linderung verschaffen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben