Page 1 of 1
Einbruchsversuche
Posted: 2003-07-30 05:06
by adjustman
Hi, ich habe hier "jemand" (konkret 61.96.181.132 (inetnum: 61.96.181.128 - 61.96.181.191)), der versucht seit mehreren Wochen den Server zu knacken. Incl. Spam abzusetzen. Und zwar mit Fleiss! Täglich mehrere Dutzend Angriffe.
Bleibt der wirklich draussen, wenn ich folgende Rule absetze?
Code: Select all
iptables -A INPUT -t filter -p all -s 61.96.181.128/255.0.0.0 -j REJECT
Re: Einbruchsversuche
Posted: 2003-07-30 08:44
by tuxyso
Damit sperrst du aber nur die EINE konkrete IP Adresse. Wenn Du das komplette Netz ausschließen möchtest, solltest du schreiben:
Code: Select all
iptables -A INPUT -t filter -p all -s 61.96.181.0/255.0.0.0 -j REJECT
Damit dürften die IPs von 61.96.181.1 - 61.96.181.254 draußen bleiben. Die 0,0001 % die du damit zu Unrecht ausschließt, mit diesem geringen Anteil kannst du leben.
Was tut denn dieser Angreifer ganz konkret so schlimmes? Dann wäre es vielleicht besser, das Problem an der Wurzel zu bekämpfen, sprich Spam Filter und sichere Firewall Rules, die es Hackern schwierig machen. Wenn der Angreifer merkt, dass du ihn ausgesperrt hast, wird er auch von einer anderen IP angreifen.
Re: Einbruchsversuche
Posted: 2003-07-30 13:59
by adjustman
tuxyso wrote: wird er auch von einer anderen IP angreifen.
Ja, genau das ist das Problem
Re: Einbruchsversuche
Posted: 2003-07-30 14:25
by schröder
Also:
IP sperren!
email an diesen spammer!
Deine email auf Deiner website veröffentlichen, dabei alle Namen nennen, incl. IP, Tel.Nr. mit einem Protokoll aller Hackversuche incl. Zeit, IP, welcher Provider hostet usw.
Wenn er antwortet, diese Antwort ebenfalls veröffentlichen.
Ach ja, diese Seite im web bekannt machen. Hier mal einen link reinsetzen. Jedem robot die Seite anbieten usw. usw.
Das hat Wirkung - glaub mir!
Schröder
Re: Einbruchsversuche
Posted: 2003-07-30 15:20
by alexander newald
Ja, zB. das er dann enorm Ã?rger bekommt, denn Zugriffsversuche von Aussen auf einen Server sind, solange Sie keinen Schaden verursachen, nicht verboten und nicht strafbar. Das veröffentlichen von E-Mailverkehr ohne die Einverständniss des E-Mailpartners, sowie das veröffentlichen von personenbezogenen Daten (Dies sind auch die IPs, etc wenn zusammen mit dem E-Mails gepostet) ist meines erachtens ebenfalls nicht erlaubt.
Soweit mein Wissensstand, der falsch sein kann.
Die ist keine Rechtsberatung.
Re: Einbruchsversuche
Posted: 2003-07-30 16:00
by mutombo
tuxyso wrote:
Was tut denn dieser Angreifer ganz konkret so schlimmes? Dann wäre es vielleicht besser, das Problem an der Wurzel zu bekämpfen, sprich Spam Filter und sichere Firewall Rules, die es Hackern schwierig machen.
ich würde mich eher mal wieder dieser frage zuwenden.
es scheint ja was interessantes auf deinem server zu geben wenn derjenige nicht locker läßt.
möglicherweise hat da auch nur jemand ein kaputtes script auf seinem rechner, das seltsame anfragen produziert.
wie gesagt, an den symptomen rumdoktoren bringt nix :)
P.S.: paar logauszüge vielleicht damit man weiß was du genau meinst ?
Re: Einbruchsversuche
Posted: 2003-07-30 16:08
by captaincrunch
P.S.: paar logauszüge vielleicht damit man weiß was du genau meinst ?
Zum einen das, zu den Vorschlägen des "an den Pranger" stellens : habt ihr schon mal daran gedacht, dass der Rechner, von dem die "Angriffe" ausgehen vielleicht auch geknackt sein könnte ?
Sofern man also nichts näheres weiß, sollte man vielleicht besser auf solch ziemlich überzogene Maßnahmen verzichten, und sich besser mit dem Provider desjenigen auseinandersetzen ...
Re: Einbruchsversuche
Posted: 2003-07-30 16:19
by mutombo
ich meinte auch eher das man mal gucken kann inwiefern die logeinträge gefährlich sind. vielleicht sinds ja wirklich nur ein paar fehlgeleitete browserscripte.
und das es sich bei der iprange um nen proxy oder nen infizierten rechner handelt is schon gut möglich ;)
Re: Einbruchsversuche
Posted: 2003-07-30 16:39
by adjustman
Code: Select all
inetnum: 61.96.181.128 - 61.96.181.191
netname: DREAMX-LLINE-MFTRAINING-KR
descr: MFTRAINING
descr: 201, Hwasan building, 31-12, Jamwon-dong, Seocho-gu
descr: SEOUL
descr: 137-030
country: KR
admin-c: JM13-KR
tech-c: JM14-KR
remarks: This IP address space has been allocated to KRNIC.
remarks: For more information, using KRNIC Whois Database
remarks: whois -h whois.nic.or.kr
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: hostmaster@nic.or.kr 20030714
source: KRNIC
Muss ich noch mehr sagen?
Re: Einbruchsversuche
Posted: 2003-07-30 16:55
by alexander newald
Ja, Logfileeinträge!?
Re: Einbruchsversuche
Posted: 2003-07-30 18:05
by adjustman
Code: Select all
[Tue Jul 29 00:15:37 2003] [error] [client 61.96.181.132] Invalid URI in request GET /../../../../etc/hosts HTTP/1.0
[Tue Jul 29 00:15:37 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/.access
[error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/.passwd
[Tue Jul 29 00:15:41 2003] [error] [client 61.96.181.132] File does not exist: /bin/public_html
[Tue Jul 29 00:15:41 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~ftp
[Tue Jul 29 00:15:42 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~guest
[Tue Jul 29 00:15:42 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~log
[Tue Jul 29 00:15:42 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~logs
[Tue Jul 29 00:15:43 2003] [error] [client 61.96.181.132] File does not exist: /var/spool/lpd/public_html
[Tue Jul 29 00:15:43 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~named
[Tue Jul 29 00:15:45 2003] [error] [client 61.96.181.132] File does not exist: /root/public_html
[Tue Jul 29 00:15:45 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~test
[Tue Jul 29 00:15:45 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/~tmp
[Tue Jul 29 00:15:46 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/bb-dnbd/bb-hist.sh
[Tue Jul 29 00:15:46 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/bin
[Tue Jul 29 00:15:48 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/bin/jscripts/GneteFuncs.js
[Tue Jul 29 00:15:48 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/ccbill/secure/ccbill.log
[Tue Jul 29 00:15:49 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/add_ftp.cgi
[Tue Jul 29 00:15:49 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/Admin_files
[Tue Jul 29 00:15:49 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/adp
[Tue Jul 29 00:15:51 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/adpassword.txt
[Tue Jul 29 00:15:51 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/ads.setup
[Tue Jul 29 00:15:52 2003] [error] [client 61.96.181.132] script not found or unable to stat: /var/www/confixx/html/cgi-bin/aglimpse
[Tue Jul 29 00:15:54 2003] [error] [client 61.96.181.132] File does not exist: /var/www/confixx/html/Cgi-Bin/aglimpse.cgi
Und
Code: Select all
61.96.181.132 - - [29/Jul/2003:00:15:54 +0200] "GET /Cgi-Bin/alibaba.pl HTTP/1.0" 404 291 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:54 +0200] "GET /cgi-bin/alibaba.pl HTTP/1.0" 404 291 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:55 +0200] "GET /cgi-bin/alibaba.pl\dir HTTP/1.0" 404 295 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:56 +0200] "GET /cgi-bin/allmanage.pl HTTP/1.0" 404 293 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:56 +0200] "GET /cgi-bin/allmanage/adp HTTP/1.0" 404 294 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:56 +0200] "GET /cgi-bin/allmanage/k HTTP/1.0" 404 292 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:57 +0200] "GET /cgi-bin/allmanage/settings.cfg HTTP/1.0" 404 303 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:57 +0200] "GET /cgi-bin/allmanage/userfile.dat HTTP/1.0" 404 303 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:57 +0200] "GET /cgi-bin/allmanageup.pl HTTP/1.0" 404 295 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:58 +0200] "GET /cgi-bin/AnyBoard.cgi HTTP/1.0" 404 293 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:58 +0200] "GET /cgi-bin/anyboard.cgi HTTP/1.0" 404 293 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:59 +0200] "GET /cgi-bin/AnyForm HTTP/1.0" 404 288 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:15:59 +0200] "GET /cgi-bin/AnyForm.cgi HTTP/1.0" 404 292 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:00 +0200] "GET /cgi-bin/AnyForm2 HTTP/1.0" 404 289 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:00 +0200] "GET /cgi-bin/archie HTTP/1.0" 404 287 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:00 +0200] "GET /cgi-bin/architext_query.pl HTTP/1.0" 404 299 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:00 +0200] "GET /cgi-bin/ash HTTP/1.0" 404 284 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:01 +0200] "GET /cgi-bin/AT-admin.cgi HTTP/1.0" 404 293 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:01 +0200] "GET /cgi-bin/AT-generate.cgi HTTP/1.0" 404 296 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:01 +0200] "GET /cgi-bin/authorize/dbmfiles/users HTTP/1.0" 404 305 "-" "-"
61.96.181.132 - - [29/Jul/2003:00:16:01 +0200] "GET /cgi-bin/ax.cgi HTTP/1.0" 404 287 "-" "-"
Ist nur ein KLEINER Auszug
Re: Einbruchsversuche
Posted: 2003-07-30 18:27
by captaincrunch
Dann sperr halt die btreffende IP per IPTables, ich würde fast Wetten darauf eingehen, dass die Kiste ohnehin schon gecrackt ist. Außerdem wäre es äußerst selbstlos, sich vielleicht doch mal an den zuständigen Provider (wo auch immer der sitzt) zu wenden, da du wahrscheinlich nicht der einzige bist, der "attackiert" wird, und andere das vielleicht erst gar nicht merken ...
Re: Einbruchsversuche
Posted: 2003-07-30 20:10
by offset
da würd es doch reichen, die obige Zeile auf der Shell einzutippen, Return, fertig!?
Re: Einbruchsversuche
Posted: 2003-07-31 00:06
by offset
also so:
Code: Select all
#!/bin/sh
iptables -A INPUT -t filter -p all -s 61.96.181.0/255.0.0.0 -j REJECT
Oder? Reicht das?
Re: Einbruchsversuche
Posted: 2003-07-31 01:27
by dodolin
Außerdem wäre es äußerst selbstlos, sich vielleicht doch mal an den zuständigen Provider (wo auch immer der sitzt) zu wenden, da du wahrscheinlich nicht der einzige bist, der "attackiert" wird, und andere das vielleicht erst gar nicht merken ...
Ã?h... du sag mal, Chris, du hast noch nicht so viele Erfahrungen mit KRNIC und Abuse-Handling, oder? ;) Meinst du, cn-kr.blackholes.us gibt es umsonst? ;)
Re: Einbruchsversuche
Posted: 2003-07-31 10:48
by captaincrunch
Ã?h... du sag mal, Chris, du hast noch nicht so viele Erfahrungen mit KRNIC und Abuse-Handling, oder?
Ich gestehe : Nö ... ;)
Re: Einbruchsversuche
Posted: 2003-07-31 11:51
by dodolin
Nuja, also wenn du mal ne Antwort oder auch nur ne Reaktion von einem Abuse aus Korea erhälst, dann ist das wie Weihnachten und Geburtstag gleichzeitig. So ungefähr von der Wahrscheinlichkeit her, meine ich... ;)
Re: Einbruchsversuche
Posted: 2003-08-03 22:42
by sid
nur so am rande, da ich gezielt "spammer aussperre":
dreamx, dreamx??? das sagt mir doch was!!! da muss ich doch gleich mal nachschauen ...
IP Address : 61.103.137.0-61.103.137.255
Network Name : DREAMX-CATV-BUKBUSAN-SR
hatten es (trotz "extremer anti-spam-regeln") irgendwie geschafft auf einem meiner server spam einzuliefern (also empfaenger auf meinem server) ... also werden die bei mir pauschal geblockt.
-> jetzt weiss ich warum ... offensichtlich richtig herber verein ...
im uebrigen: "warscheinlich" gibt es in asien keine abuse-desks ;-)
... trotzdem blocke ich asien _nicht_pauschal_! man muss nur wissen wer die "boesen" sind (und was dial-up's sind)!
sid.
ZERO-spam-tolerance
Re: Einbruchsversuche
Posted: 2003-08-03 22:54
by adjustman
sag doch mal, wie Du spammer blockst. (Nicht das ich die generelle Vorgehensweise nicht kenne
) Man kann ja noch dazulernen, gell