Einbruchsversuche

[adjustman]

Hi, ich habe hier "jemand" (konkret 61.96.181.132 (inetnum: 61.96.181.128 - 61.96.181.191)), der versucht seit mehreren Wochen den Server zu knacken. Incl. Spam abzusetzen. Und zwar mit Fleiss! Täglich mehrere Dutzend Angriffe.
Bleibt der wirklich draussen, wenn ich folgende Rule absetze?

Code: Select all

iptables -A INPUT -t filter -p all -s 61.96.181.128/255.0.0.0 -j REJECT

[tuxyso]

Damit sperrst du aber nur die EINE konkrete IP Adresse. Wenn Du das komplette Netz ausschließen möchtest, solltest du schreiben:

Code: Select all

iptables -A INPUT -t filter -p all -s 61.96.181.0/255.0.0.0 -j REJECT 

Damit dürften die IPs von 61.96.181.1 - 61.96.181.254 draußen bleiben. Die 0,0001 % die du damit zu Unrecht ausschließt, mit diesem geringen Anteil kannst du leben.

Was tut denn dieser Angreifer ganz konkret so schlimmes? Dann wäre es vielleicht besser, das Problem an der Wurzel zu bekämpfen, sprich Spam Filter und sichere Firewall Rules, die es Hackern schwierig machen. Wenn der Angreifer merkt, dass du ihn ausgesperrt hast, wird er auch von einer anderen IP angreifen.

[adjustman]

wird er auch von einer anderen IP angreifen.

Ja, genau das ist das Problem

[schröder]

Also:

IP sperren!
email an diesen spammer!
Deine email auf Deiner website veröffentlichen, dabei alle Namen nennen, incl. IP, Tel.Nr. mit einem Protokoll aller Hackversuche incl. Zeit, IP, welcher Provider hostet usw.
Wenn er antwortet, diese Antwort ebenfalls veröffentlichen.
Ach ja, diese Seite im web bekannt machen. Hier mal einen link reinsetzen. Jedem robot die Seite anbieten usw. usw.

Das hat Wirkung - glaub mir!

Schröder

[alexander newald]

Ja, zB. das er dann enorm Ã?rger bekommt, denn Zugriffsversuche von Aussen auf einen Server sind, solange Sie keinen Schaden verursachen, nicht verboten und nicht strafbar. Das veröffentlichen von E-Mailverkehr ohne die Einverständniss des E-Mailpartners, sowie das veröffentlichen von personenbezogenen Daten (Dies sind auch die IPs, etc wenn zusammen mit dem E-Mails gepostet) ist meines erachtens ebenfalls nicht erlaubt.

Soweit mein Wissensstand, der falsch sein kann.

Die ist keine Rechtsberatung.

[mutombo]

Was tut denn dieser Angreifer ganz konkret so schlimmes? Dann wäre es vielleicht besser, das Problem an der Wurzel zu bekämpfen, sprich Spam Filter und sichere Firewall Rules, die es Hackern schwierig machen.

ich würde mich eher mal wieder dieser frage zuwenden.
es scheint ja was interessantes auf deinem server zu geben wenn derjenige nicht locker läßt.
möglicherweise hat da auch nur jemand ein kaputtes script auf seinem rechner, das seltsame anfragen produziert.

wie gesagt, an den symptomen rumdoktoren bringt nix

P.S.: paar logauszüge vielleicht damit man weiß was du genau meinst ?

[captaincrunch]

P.S.: paar logauszüge vielleicht damit man weiß was du genau meinst ?

Zum einen das, zu den Vorschlägen des "an den Pranger" stellens : habt ihr schon mal daran gedacht, dass der Rechner, von dem die "Angriffe" ausgehen vielleicht auch geknackt sein könnte ?
Sofern man also nichts näheres weiß, sollte man vielleicht besser auf solch ziemlich überzogene Maßnahmen verzichten, und sich besser mit dem Provider desjenigen auseinandersetzen ...

[mutombo]

ich meinte auch eher das man mal gucken kann inwiefern die logeinträge gefährlich sind. vielleicht sinds ja wirklich nur ein paar fehlgeleitete browserscripte.
und das es sich bei der iprange um nen proxy oder nen infizierten rechner handelt is schon gut möglich

[adjustman]

Code: Select all

inetnum:      61.96.181.128 - 61.96.181.191
netname:      DREAMX-LLINE-MFTRAINING-KR
descr: 	      MFTRAINING
descr: 	      201, Hwasan building, 31-12, Jamwon-dong, Seocho-gu
descr: 	      SEOUL
descr: 	      137-030
country:      KR
admin-c:      JM13-KR
tech-c:       JM14-KR
remarks:      This IP address space has been allocated to KRNIC.
remarks:      For more information, using KRNIC Whois Database
remarks:      whois -h whois.nic.or.kr
mnt-by:       MNT-KRNIC-AP
remarks:      This information has been partially mirrored by APNIC from
remarks:      KRNIC. To obtain more specific information, please use the
remarks:      KRNIC whois server at whois.krnic.net.
changed:      hostmaster@nic.or.kr 20030714
source:       KRNIC

Muss ich noch mehr sagen?

[alexander newald]

Ja, Logfileeinträge!?

[adjustman]

Code: Select all

[Tue Jul 29 00:15:37 2003] [error] [client 61.96.181.132] Invalid URI in request GET /../../../../etc/hosts HTTP/1.0
[Tue Jul 29 00:15:37 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/.access
 [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/.passwd
[Tue Jul 29 00:15:41 2003] [error] [client 61.96.181.132] File does not exist: /bin/public_html
[Tue Jul 29 00:15:41 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~ftp
[Tue Jul 29 00:15:42 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~guest
[Tue Jul 29 00:15:42 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~log
[Tue Jul 29 00:15:42 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~logs
[Tue Jul 29 00:15:43 2003] [error] [client 61.96.181.132] File does not exist: /var/spool/lpd/public_html
[Tue Jul 29 00:15:43 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~named
[Tue Jul 29 00:15:45 2003] [error] [client 61.96.181.132] File does not exist: /root/public_html
[Tue Jul 29 00:15:45 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~test
[Tue Jul 29 00:15:45 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~tmp
[Tue Jul 29 00:15:46 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/bb-dnbd/bb-hist.sh
[Tue Jul 29 00:15:46 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/bin
[Tue Jul 29 00:15:48 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/bin/jscripts/GneteFuncs.js
[Tue Jul 29 00:15:48 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/ccbill/secure/ccbill.log
[Tue Jul 29 00:15:49 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/add_ftp.cgi
[Tue Jul 29 00:15:49 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/Admin_files
[Tue Jul 29 00:15:49 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/adp
[Tue Jul 29 00:15:51 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/adpassword.txt
[Tue Jul 29 00:15:51 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/ads.setup
[Tue Jul 29 00:15:52 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/aglimpse
[Tue Jul 29 00:15:54 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/Cgi-Bin/aglimpse.cgi

Und

Code: Select all

61.96.181.132 - - [29/Jul/2003:00:15:54 +0200] "GET /Cgi-Bin/alibaba.pl HTTP/1.0" 404 291 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:54 +0200] "GET /cgi-bin/alibaba.pl HTTP/1.0" 404 291 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:55 +0200] "GET /cgi-bin/alibaba.pl\dir HTTP/1.0" 404 295 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:56 +0200] "GET /cgi-bin/allmanage.pl HTTP/1.0" 404 293 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:56 +0200] "GET /cgi-bin/allmanage/adp HTTP/1.0" 404 294 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:56 +0200] "GET /cgi-bin/allmanage/k HTTP/1.0" 404 292 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:57 +0200] "GET /cgi-bin/allmanage/settings.cfg HTTP/1.0" 404 303 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:57 +0200] "GET /cgi-bin/allmanage/userfile.dat HTTP/1.0" 404 303 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:57 +0200] "GET /cgi-bin/allmanageup.pl HTTP/1.0" 404 295 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:58 +0200] "GET /cgi-bin/AnyBoard.cgi HTTP/1.0" 404 293 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:58 +0200] "GET /cgi-bin/anyboard.cgi HTTP/1.0" 404 293 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:59 +0200] "GET /cgi-bin/AnyForm HTTP/1.0" 404 288 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:59 +0200] "GET /cgi-bin/AnyForm.cgi HTTP/1.0" 404 292 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:00 +0200] "GET /cgi-bin/AnyForm2 HTTP/1.0" 404 289 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:00 +0200] "GET /cgi-bin/archie HTTP/1.0" 404 287 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:00 +0200] "GET /cgi-bin/architext_query.pl HTTP/1.0" 404 299 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:00 +0200] "GET /cgi-bin/ash HTTP/1.0" 404 284 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:01 +0200] "GET /cgi-bin/AT-admin.cgi HTTP/1.0" 404 293 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:01 +0200] "GET /cgi-bin/AT-generate.cgi HTTP/1.0" 404 296 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:01 +0200] "GET /cgi-bin/authorize/dbmfiles/users HTTP/1.0" 404 305 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:01 +0200] "GET /cgi-bin/ax.cgi HTTP/1.0" 404 287 "-" "-"

Ist nur ein KLEINER Auszug

[captaincrunch]

Dann sperr halt die btreffende IP per IPTables, ich würde fast Wetten darauf eingehen, dass die Kiste ohnehin schon gecrackt ist. Außerdem wäre es äußerst selbstlos, sich vielleicht doch mal an den zuständigen Provider (wo auch immer der sitzt) zu wenden, da du wahrscheinlich nicht der einzige bist, der "attackiert" wird, und andere das vielleicht erst gar nicht merken ...

[offset]

da würd es doch reichen, die obige Zeile auf der Shell einzutippen, Return, fertig!?

[offset]

also so:

Code: Select all

#!/bin/sh
iptables -A INPUT -t filter -p all -s 61.96.181.0/255.0.0.0 -j REJECT

Oder? Reicht das?

[dodolin]

Außerdem wäre es äußerst selbstlos, sich vielleicht doch mal an den zuständigen Provider (wo auch immer der sitzt) zu wenden, da du wahrscheinlich nicht der einzige bist, der "attackiert" wird, und andere das vielleicht erst gar nicht merken ...

Ã?h... du sag mal, Chris, du hast noch nicht so viele Erfahrungen mit KRNIC und Abuse-Handling, oder? Meinst du, cn-kr.blackholes.us gibt es umsonst?

[captaincrunch]

Ã?h... du sag mal, Chris, du hast noch nicht so viele Erfahrungen mit KRNIC und Abuse-Handling, oder?

Ich gestehe : Nö ...

[dodolin]

Nuja, also wenn du mal ne Antwort oder auch nur ne Reaktion von einem Abuse aus Korea erhälst, dann ist das wie Weihnachten und Geburtstag gleichzeitig. So ungefähr von der Wahrscheinlichkeit her, meine ich...

[sid]

nur so am rande, da ich gezielt "spammer aussperre":

dreamx, dreamx??? das sagt mir doch was!!! da muss ich doch gleich mal nachschauen ...

IP Address : 61.103.137.0-61.103.137.255
Network Name : DREAMX-CATV-BUKBUSAN-SR
hatten es (trotz "extremer anti-spam-regeln") irgendwie geschafft auf einem meiner server spam einzuliefern (also empfaenger auf meinem server) ... also werden die bei mir pauschal geblockt.
-> jetzt weiss ich warum ... offensichtlich richtig herber verein ...

im uebrigen: "warscheinlich" gibt es in asien keine abuse-desks
... trotzdem blocke ich asien _nicht_pauschal_! man muss nur wissen wer die "boesen" sind (und was dial-up's sind)!

sid.
ZERO-spam-tolerance

[adjustman]

sag doch mal, wie Du spammer blockst. (Nicht das ich die generelle Vorgehensweise nicht kenne ) Man kann ja noch dazulernen, gell