automatisiertes tool, um hostmaster von kompromittierten servern zu warnen

[manarak]

ich gehe regelmässig meine logs durch, und die sind natürlich voll von hackversuchen.

gibt es tools, die die logs automatisch durchgehen (error log, secure log, audit log), aufgrund von parametern hackversuche finden, die IP adresse extrahieren, einen whois ausführen und dem hostmaster der IP schreiben (mit den logeinträgen als anlage), dass dieser server kompromittiert ist oder dieser internet access client mal haue braucht?

[chaosad]

An welche Adresse willst du denn das versenden?

[manarak]

Na an die abuse addresse, die man beim IP whois bekommt - wohin sonst?

[aubergine]

Das wäre doch mal eine Entwicklung Herr Newald :P

[chaosad]

Die werden sich freuen ;)

[Joe User]

Prima, noch mehr Spam an Roleaccounts und sich dann wundern, dass auf echte Mails nicht mehr reagiert wird...

[timeless2]

mit logcheck etc. kannst du dir selbst eine E-Mail schicken lassen und auch einstellen, bei welchen Ereignissen er dich informiert, dann musst du nicht mehr alle Zeilen durchblättern.

[manarak]

automatisierte mails sind ja nicht gleich spam!

wenn jemand (eine IP) 10 versuche macht, mir ein wget auf verschiedene applikationen (könnt ihr aussuchen: webcalendar, awstats, gallery, phpbb usw.) unterzujubeln, dann ist die IP wohl verseucht.

leider habe ich keine energie, die 20 versuche, die ich am tag erleide (und das ist nur in den error logs) zu verfolgen. aber ein kompromittierter server ist dann irgendwo da draussen, und kompromittiert weitere server. mein server weiss, wo er ist, während der betreiber es nur nach der ersten rechnung für überhöhten traffic erfahren wird, wenn überhaupt...

und die meisten IPs die bei mir rumhacken sind aus russland, china, mexico, brasilien, der ukraine... viele abuse addressen der hostmaster kommen auch noch mit einem "unknown user" zurück. denen sollte man doch mal beine machen! oder nicht?

das aufreibende dabei ist ja immer die hostmaster adresse zu den ips zu suchen, und das mail schreiben. als ob ich nix besseres zu tun hätte.

[daemotron]

mit logcheck etc. kannst du dir selbst eine E-Mail schicken lassen und auch einstellen, bei welchen Ereignissen er dich informiert, dann musst du nicht mehr alle Zeilen durchblättern.

Diese Tools ersetzen aber keinesfalls den regelmäßigen Blick in die Logfiles!

[Joe User]

automatisierte mails sind ja nicht gleich spam!

Automatisch generierte Mails an Roleaccounts sind Spam! Was glaubst Du, wofür Roleaccounts gedacht sind?

wenn jemand (eine IP) 10 versuche macht, mir ein wget auf verschiedene applikationen (könnt ihr aussuchen: webcalendar, awstats, gallery, phpbb usw.) unterzujubeln, dann ist die IP wohl verseucht.

Wenn ich zum Verifizieren (un)bakannter Sicherheitslücken Deinen Server auswähle, ist mein System noch lange nicht infiziert. Und ja, bevor (nicht nur) ich Bugreports schreibe, verifiziere ich diese an möglichst vielen unabhängigen Systemen...

leider habe ich keine energie, die 20 versuche, die ich am tag erleide (und das ist nur in den error logs) zu verfolgen.

Glaubst Du anderen Admins ergeht es bei automatisch generierten Mails (Spam) an Roleaccounts anders?

aber ein kompromittierter server ist dann irgendwo da draussen, und kompromittiert weitere server.

Sicher? (siehe oben)

mein server weiss, wo er ist,

Sicher/Woher?

und die meisten IPs die bei mir rumhacken sind aus russland, china, mexico, brasilien, der ukraine...

Ey, woher weisst Du?

viele abuse addressen der hostmaster kommen auch noch mit einem "unknown user" zurück. denen sollte man doch mal beine machen! oder nicht?

Ja, aber nicht durch Spam.

das aufreibende dabei ist ja immer die hostmaster adresse zu den ips zu suchen, und das mail schreiben. als ob ich nix besseres zu tun hätte.

Warum Machst/versuchst Du es dann überhaupt? Ich mache es nicht, wozu auch...

[alexander newald]

Ich handhabe das mit den Logfiles so, dass ich mir die einmal pro Tag automatisch Filtern lasse und alles, bei dem ich der Meinung bin, ist nicht wichtig, wird beim nächsten Mal nicht mit angezeigt. Nach ein paar Tagen hat man dann wirklich nur noch das, was wirklich wichtig ist, in den Logfiles.

[manarak]

Mr. User, ich gehe davon aus, dass sie mit Absicht so provokativ schreiben wie sie es tun, aber hier sind nichtsdestotrotz die Antworten auf ihre Fragen (und Behauptungen):

Automatisch generierte Mails an Roleaccounts sind Spam!

Nein wenn diese Mails berechtigt sind, ist es kein Spam. Genausowenig wie wenn man einen Strafzettel von einer Blitzeranlage bekommt.

Was glaubst Du, wofür Roleaccounts gedacht sind?

Role accounts - vor allem das abuse - sind genau dazu da, um Beschwerden anderer zum Verhalten der eigenen User und Server aufzunehmen. Ein detailliertes Log mit Angabe der Serverzeit gegenüber GMT ist hilfreich.

Wenn abuse roles für etwas anderes da sind, lasse ich mich gerne erleuchten.

Wenn ich zum Verifizieren (un)bakannter Sicherheitslücken Deinen Server auswähle, ist mein System noch lange nicht infiziert. Und ja, bevor (nicht nur) ich Bugreports schreibe, verifiziere ich diese an möglichst vielen unabhängigen Systemen...

Ich gehe Mal davon aus, dass Du das hoffentlich an Systemen von guten Bekoannten machst. Das wäre jedenfalls Grund genug, mich an Deinen Provider zu wenden, Herr User. Ich wünsche es nicht, dass "Sicherheitstests" an meinem Server durchgeführt werden.
Ausserdem fallen meinen Tools eher bereits bekannte Sicherheitslöcher viel leichter auf. Bei einem unbekannten Angriff gäbe es folglich auch kein Mail, he.

Glaubst Du anderen Admins ergeht es bei automatisch generierten Mails (Spam) an Roleaccounts anders?

Du würdest gar nicht merken, dass das Mail automatisiert ist... Es kann ja auch nur erst vorbereitet werden und eine Zwischenstation über meine Workstation machen.
Jedenfalls wäre die zuständige Organisation nach dem Mail gewarnt, dass ein Server wahrscheinlich infiziert ist. Das würde dem Kunden oft Traffic-Geld sparen. Hmmm... in diesem Forum steht ausserdem mehrmals, dass Admins von infizierten Servern diese so schnell wie möglich vom Netz nehmen sollen, unter Androhung von Schadenersatz. Zusammen mit dem was Du schreibst, kann man das so interpretieren, dass man schnell handeln muss, wenn man es erfährt, aber dass es ja nicht schadet, wenn man es spät erfährt? Soll man vielleicht noch selbst nachhelfen, damit echter Schaden entsteht?

Und dass der andere Server weitere infiziert ist ja wohl klar (natürlich ausser wenn Joe User meinen Server angreift).

Ich weiss durch welche IPs die Angriffe kommen, und mache manchmal whois auf den IPs, daher weiss ich auch, wer die betreibt. Ich habe bereits an die 50 Mails an abuse verschickt, und konnte einige Erfolge verzeichnen: user xy wurde verbannt, server dingsda ging vom netz, usw.

Ja, aber nicht durch Spam.

Nicht durch Benachrichtigung der abuse mailbox? Wie dann?

Warum Machst/versuchst Du es dann überhaupt?

Weil ich verdammt noch Mal etwas dagegen unternehmen möchte!!

Ich mache es nicht, wozu auch...

Der Spagat zwischen dem "unverzüglich Handeln bei kompromittiertem Server" und dem "Ach, es ist ja ein anderer Server als meiner, der gehackt wurde... den lass ich Mal weiterlaufen, vielleicht kann der ja noch schön viele andere Server infizieren, es sind ja eh alles ahnungslose Idioten, die sich infizieren lassen..."