Was machen mit Script Kiddies?

[wassup]

Kurz nachdem ein Fehler in awstats bekannt wurde, wurde mein server mit anfragen nacht /cgi-bin/awstats/ bombadiert. (obwohl ich es garnicht benutze)
jedesmal wenn ein neues Siherheitsloch auftut passiert das.

Geht ihr solchen Sachen nach? Oder lasst ihr die einfach machen? Bei mir hält sich das mit dem Traffic noch in einem kleinen Rahmen, aber sobald eine Domain mal viel bekannter ist, denke ich schon dass das einen größeren Anteil an Traffic ausmacht.

Ich habe mir überlegt evtl. ein Script zu schreiben, dass automatisch eine Email an abuse@t-online.de schickt, falls eine dieser Anfragen in meinen Logs auftaucht und der Angreifer bei T-Online ist. Aber bringt das was?

[captaincrunch]

Ich für meinen Teil halte es so, dass ich über solche "Angriffe" schmunzle. Aktiv werde ich höchstens, wenn's zu derbe wird (z.B., weil's zu viele Ressourcen (CPU, Bandbreite, ...) kostet), oder wirklich mal jemand das Glück hatte, eine Lücke zu nutzen (was aber zum Glück noch nie vorkam).

Solch automatisierte Scripts können IMHO ganz schnell ins Auge gehen. Ich erinnere z.B. einfach mal an Code Red oder andere Würmer. Auch die Gefahr von Spoofing lässt sich einfach nicht aus der Welt räumen.

[mausgreck]

aber sobald eine Domain mal viel bekannter ist, denke ich schon dass das einen größeren Anteil an Traffic ausmacht.

Also ich glaube nicht, dass diese Skripts nach Bekanntheitsgrad einer Domain gehen. Die Scannen einen ganzen Netzwerkblock und fertig. Ich glaube eher, um so mehr Traffic du hast, umso mehr verschwindet das im Rauschen.

Ich habe mir überlegt evtl. ein Script zu schreiben, dass automatisch eine Email an abuse@t-online.de schickt, falls eine dieser Anfragen in meinen Logs auftaucht und der Angreifer bei T-Online ist. Aber bringt das was?

Ich fürchte, das einzige was das bringt ist im Killfile von abuse@t-onlind.de zu landen. :P Meine persönliche Strategie: Server dicht halten und *gähn*.

[Joe User]

Ich rechne grundsätzlich +25% Traffik-Reserven für solche Dinge ein und sehe es ähnlich gelassen wie auch CC. Im Notfall kann ich auch das Netzwerkkabel kappen lassen...

[lord_pinhead]

Leite die Anfragen nach dem AWStats doch einfach um, auf eine Subdomain und mach eine Pseudo AWStats. Das Script soll halt in eine Textfile schreiben und dann kannste die Liste mal T-Online schicken mit bitte um Reaktion. Mehr als eine Mail vom Abuse Team bekommen die meist eh net, aber manche werden es sich vielleicht nochmal überlegen sich als "Hacker" zu versuchen.

Ansonsten, da es ja net auf dein Server läuft, einfach zurücklehnen und lachen. Ich finde es immer lustig wenn solche Kiddies an meinen Server abprallen wie die Fliegen an der Windschutzscheibe.

Aso, du könntest natürlich auch ganz einfach hergehen, ein IDS (Prelude oder Snort) Installieren und eine Regel erstellen, welche die IP des "Hackers" dann für 24 Stunden blockiert. Schade das man da kein Redirect einschalten kann, sonst könntest du auf eine Seite umleiten, auf dein Server, in der steht das sein Angriff registriert wurde und alle Logdateien umgehen zur örtlichen Polizei gesendet werden *fg* Der kuckt sicher drauf, er will ja sehen ob er mal Erfolg hatte. Mit einen Gästebuch verbunden wäre das sicher mal was richtig Lustiges :D Aber ich denke das wäre zuviel Aufwand für so ein dummes Kiddie. IP Sperren und gut sein lassen.

MFG
Lord Pinhead

[wassup]

aber das sollte man vielleicht wirlich schreiben

einfach die logs vom apache durch ne pipe schicken und ips mit böse querys blocken

ich glaub das schreib ich mir mal wenns abi vorbei ist :-)

werde ich natürlich hier veröffentlichen

[Joe User]

Sowas lässt sich per mod_rewrite+mod_setenvif+mod_log_config+mod_include realisieren...

[wassup]

ich würde die pakete aber gerne droppen vom angreifer. Dann kann er erstens keinen traffic verursachen (oder nur wenig) und zweitens auch nicht andere ports angreifen...

[Joe User]

Traffikbremse per mod_rewrite 8)

Code: Select all

    RewriteCond %{QUERY_STRING} (.*)QUERY_STRING_TO_DROP [NC]
    RewriteRule .* http://256.256.256.256/ [R=301,L]

Was die möglichen Angriffsversuche auf weitere Dienste angeht: Dienste abschotten und notfalls die angreifende IP temporär an iptables verfüttern...

[wassup]

hab grad das gefunden: http://www.rootforum.org/forum/viewtopic.php?t=31939

das war das was ich gesucht habe

[outofbound]

Ich fahre da mit CC und JU auf der gleichen Schiene. Ich habe einen "Nervfaktor", den es zu überwinden gilt. Alles darunter --> /dev/null.
Was darüber hinausgeht ist entweder Arbeit, damit muss man als "root" leben, oder Verfolgenswert, und dann darf man den "Jäger" (Gruss an R.A. Salvatore) rauslassen und bisher war ich damit sehr erfolgreich. ;)

Maga Camara Dark Elf,

Out

[wassup]

was ist CC und JU?

[heavenkiller]

was ist CC und JU?

[ironie]Was kann das wohl bedeuten? Vielleicht ein Programm? neee[/ironie]

Ja, richtig! Benutzer/Administratoren des Forums: Vielleicht CaptainCrunch und Joe User?!?!

[wassup]

hab wirklich an ein progamm gedacht :roll:

bin hier noch nicht so an die Internas gewöhnt :)

[tcs]

Wobei CC dann ja eigentlich GCC sein müßte :D

Cheers

tcs

[Joe User]

Hmm, CC ist auf meinen Kisten eine ENV-Variable und cc ein Softlink ;)