Ist heute Hackerday?
TS
- sicherheit
- webserver
Hello,
habe hier im 30-Sekundenrhythmus Requestgruppen von 3 Requests auf meinen SSH-Zugang. Danach sperrt fail2ban.
Jun 25 10:55:58 bitworks-4309-1 sshd[8698]: Failed password for invalid user gruppenferien from 212.83.154.124 port 47691 ssh2
Jun 25 10:56:00 bitworks-4309-1 sshd[8698]: Failed password for invalid user gruppenferien from 212.83.154.124 port 47691 ssh2
Jun 25 10:56:03 bitworks-4309-1 sshd[8698]: Failed password for invalid user gruppenferien from 212.83.154.124 port 47691 ssh2
Jun 25 10:56:22 bitworks-4309-1 sshd[8705]: Failed password for invalid user test-the-trainer from 181.188.147.10 port 52018 ssh2
Jun 25 10:56:24 bitworks-4309-1 sshd[8705]: Failed password for invalid user test-the-trainer from 181.188.147.10 port 52018 ssh2
Jun 25 10:56:26 bitworks-4309-1 sshd[8705]: Failed password for invalid user test-the-trainer from 181.188.147.10 port 52018 ssh2
Das eigenartige ist, dass es fast immer Zugriffe mit den Domains als Nutzernamen sind.
Da muss doch ein Bot-Netz durchdrehen gerade.
Wäre es sinnvoll, die betroffenen IPs der Angreifer-Hosts zu veröffentlichen? Die Hosts sind dann doch vermutlich infiziert. Gibt es eine Stelle, die sich solcher Dinge annimmt?
Liebe Grüße
Tom S.
Hello,
Nachtrag:
Die sind sogar so penetrant, dass sie nach einer Stunde nach Ablauf der ersten Sperre wiederkommen.
Liebe Grüße
Tom S.
Seit ich mir per cronjob 3 mal am Tag u.a. die Liste von blocklist.de runterlade und in die Firewall einwerfe hab ich relative Ruhe.
Übrigens siehst Du als "Angreifer" nicht nur infizierte Hosts, sondern auch Tor-Exits.
Cooles Skript, gefällt mir gut. Vielen Dank fürs Teilen.
Mir ist in Zeile 46 ein kleiner Tippfehler aufgefallen:
${ip}List
sollte besser so lauten:
${ipList}
Danke!
Ich schau mir das gleich mal an. […] Update: geändert.
Der Typo ist mir wohl bei einem nachträglichen "Verhübschen" in den Code geraten.
Hello,
die Attacke läuft immer noch.
Das müssen andere Serverbetreiber doch auch spüren?!
Liebe Grüße
Tom S.
Hallo TS,
die Attacke läuft immer noch.
Das müssen andere Serverbetreiber doch auch spüren?!
Das ist keine Attacke. Das ist das Hintergrund-Rauschen des Internets. Diese übrigens vollautomatisierten Scans habe ich auch jedem einzelnen der Server, für die ich verantwortlich bin. Diese auf SSH und noch viele weitere auf andere Dienste. Sperren lassen mit fail2ban und fertig.
LG,
CK
Hello,
danke für deine Einschätzung.
Dieses Muster ist allerdings neu. Und da es so total dämlich ist, scheinbar aber per BOT-Net läuft, denke ich, dass das nur die Vorbereitung für untelligentere Versuche ist.
Jedenfalls hat mir das über Nacht ca. 95 Weiterleitungen der automatischen Abwehr nur für SSH auf die Sichtkontrolle gebracht. Bis vorgestern hatte ich maximal 5 pro Nacht, verteilt über alle Dienste. Alle anderen konnten automatisch behandelt werden.
#Die Größte Lücke im System sind diejenigen, die derartige Veränderungen im Angriffsverhalten auf die leichte Schulter nehmen!
Liebe Grüße
Tom S.
Hallo TS,
Dieses Muster ist allerdings neu.
Für dich vielleicht. Ich beobachte das bereits seit Jahren.
LG,
CK
Hello,
Dieses Muster ist allerdings neu.
Für dich vielleicht. Ich beobachte das bereits seit Jahren.
Das Muster mit den Hostnames bzw. Domainnames als Username?
Echt ulkig, dass ich bisher davon nichts zu sehen bekommen habe. Da frage ich mich jetzt, wieso meine Hosts plötzlich damit anfangen. DNS verteilt bei Antagus, Strato, Hetzner, kein eigener DNS-Dienst. Alle haben seit vorgestern dieses (für mich) neue Muster. Kann sein, dass da schon mal einzelne Zugriffsversuche nach dem Muster waren, aber nicht Tausende auf einmal, von denen dann eben ca. 95 pro Nacht und Host so massiv waren, dass sie nach der Sperrzeit von fail2ban sofort weitergemacht haben, und das mindestens 4 Mal, also über Stunden.
Liebe Grüße
Tom S.
Hallo TS,
Dieses Muster ist allerdings neu.
Für dich vielleicht. Ich beobachte das bereits seit Jahren.
Das Muster mit den Hostnames bzw. Domainnames als Username?
Auch. Aber auch völlige Random-Strings und auch Strings, von denen die Betreiber scheinbar glauben, dass es wahrscheinliche Usernamen sind (etwa Vornamen, Nachnamen, Kombinationen davon, root, toor, webmaster, …).
Kann sein, dass da schon mal einzelne Zugriffsversuche nach dem Muster waren, aber nicht Tausende auf einmal, von denen dann eben ca. 95 pro Nacht und Host so massiv waren, dass sie nach der Sperrzeit von fail2ban sofort weitergemacht haben, und das mindestens 4 Mal, also über Stunden.
Wie gesagt. Das Hintergrundrauschen des Internets. Ich habe solche Scans ständig, auf all meinen Servern. Ich habe Login via Passwort komplett abgeschaltet, von daher kratzt mich das jetzt auch nicht, wenn sie durch Zufall mal meinen Usernamen erraten: sie brauchen ja auch noch meinen Key.
LG,
CK
Hello,
Wie gesagt. Das Hintergrundrauschen des Internets. Ich habe solche Scans ständig, auf all meinen Servern. Ich habe Login via Passwort komplett abgeschaltet, von daher kratzt mich das jetzt auch nicht, wenn sie durch Zufall mal meinen Usernamen erraten: sie brauchen ja auch noch meinen Key.
Das habe ich zwar auch, zumindest für root und wichtige User. Bei mir heißt root auch nicht mehr so! Aber wer garantiert mir, dass nicht trotzdem mal meine Keys irgendwie in die Runde geraten (Angriff auf meinen Arbeitsplatz). Ich bin so paranoid, dass ich für jeden Aufgabenbereich einen anderen verwende. Die kann ich mir schließlich nicht mehr alle merken, anders als möglichst irreguläre Passworte.
Jedenfalls nochmals Danke für deine Info.:-)
Vielleicht lesen auch noch Andere mit, die in letzten Tagen einen ähnlichen Wechsel der Angriffe bemerkt haben? Ich möchte die Erfahrungen gerne sammeln.
Liebe Grüße
Tom S.
Vielleicht lesen auch noch Andere mit, die in letzten Tagen einen ähnlichen Wechsel der Angriffe bemerkt haben?
Wie Christian schon schrieb: Grundrauschen. FAIL2BAN verhindert jedenfalls bruteforce-Angriffe zuverlässig. Wenn Du das nicht aushältst ohne mit den Nerven zu flattern (wovon Deine Beiträge durchaus künden), dann bist Du nicht ganz der Richtige für den Job als Serveradmin.
Zum Angriff selbst: Da kommt wohl immer mal was "Neues" aus dem Darknet. Diesmal wohl die "neue" Idee, dass der Benutzername und die Domain übereinstimmen.
Wenn bestimmte IPs besonders penetrant auffallen werfe (ich) die gegreppten Logfiles deren Abuse in den Rachen (oft ist dann Ruhe) und sperre diese (gerne auch ganze Netze) explizit mit iptables. (Brasilaner oder andere Webserver müssen keinen Zugriff auf das zu Hause gehostete Zeug haben...)
Hello,
Vielleicht lesen auch noch Andere mit, die in letzten Tagen einen ähnlichen Wechsel der Angriffe bemerkt haben?
Wenn Du das nicht aushältst ohne mit den Nerven zu flattern (wovon Deine Beiträge durchaus künden), dann bist Du nicht ganz der Richtige für den Job als Serveradmin.
Arroganz und Fahrlässigkeit sind auch keine guten Eigenschaten für einen Server-Admin!
#In den letzten 24 Stunden ist die Einzelnachbearbeitung (also solche, die fail2ban mehrfach in Anspruch nehmen und deshalb im recidive-Filter landen) von ca. 90 auf 150 gestiegen und die Frequenz scheint weiter zu steigen.
Die Chinesen sperre ich schon seit geraumer Zeit netzweise aus, so wie Du die Brasilaner. Alle europäischen Hoster bekommen Abuse-Meldungen, da ihre Kunden ggf. gar nicht wissen, was ihr Host da treibt. Bis auf Hetzner gehen auch alle den Meldungen zeitnah nach.
Liebe Grüße
Tom S.
Tach!
Wenn Du das nicht aushältst ohne mit den Nerven zu flattern (wovon Deine Beiträge durchaus künden), dann bist Du nicht ganz der Richtige für den Job als Serveradmin.
Arroganz und Fahrlässigkeit sind auch keine guten Eigenschaten für einen Server-Admin!
Fahrlässig wäre es, über SSH Anmeldungen mit Nutzername und Passwort zuzulassen, statt nur Keys mit ausreichender Länge zu gestatten. Wenn du hingegen nur Key-Anmeldungen zulässt, können die sonstwieviele Passwort-Anmeldeversuche starten, sie werden alle misslingen. Also Schwamm drüber, weil das kein Problem darstellt. Die Ursache kannst du nicht abstellen, du kannst lediglich über die Firewall die Versuche etwas weiter außen abfangen.
#In den letzten 24 Stunden ist die Einzelnachbearbeitung (also solche, die fail2ban mehrfach in Anspruch nehmen und deshalb im recidive-Filter landen) von ca. 90 auf 150 gestiegen und die Frequenz scheint weiter zu steigen.
Hast du Sorgen, sie könnten damit etwas erreichen? Wenn nicht, und das Bollwerk standhält, lass sie klopfen.
dedlfix.
In den letzten 24 Stunden … von ca. 90 auf 150 gestiegen
Auch Du Gute Güte! Da machst Du schon solchen Alarm? Ich würde mir Sorgen machen wenn das aufhört. Weil dann entweder China (oder Nordkorea) die vollständige Weltmacht erlangt hat, der Realsozialismus à la DDR ausgebrochen oder aber der SSH-Server nicht erreichbar ist.
Natürlich ist die Umstellung auf SSH Keys die sinnvollste Maßnahme. Dann laufen "Angriffe" dieser Art ins Leere und dann kann man nur noch schmunzeln, wenn man wieder ein SkriptKiddie sich abarbeitet.
Warum die Anführungszeichen und der überhebliche Ton?
Ganz einfach: In der Fehlermeldung beim fehlgeschlagenen SSH Connect steht drin, welche Authentifizierungen erlaubt sind. Wenn da nur "PubKey" steht, kann man sich jeden weiteren Anmeldungsversuch sparen - wenn man nicht den passenden Schlüssel hat. Daher fällt sowas unter "Hintergrundrauschen" und kann ignoriert werden.
Wenn du es zusätzlich etwas ruhiger im Logfile haben willst, dann kann dieser Praxistipp vielleicht helfen:
Schau mit "whois" bei einigen der IPs nach, ob ein oder mehrere Länder besonders oft genannt werden.
Nimm das bereits in diesem Thread genannte Skript und zusätzlich das Land aus dieser Liste und schon wird es etwas ruhiger.
Hello,
Nimm das bereits in diesem Thread genannte Skript und zusätzlich das Land aus dieser Liste und schon wird es etwas ruhiger.
Eigentlich schade, dass mir keiner richtig zuliest. :-(
Mich beängstigen (noch) nicht die einzelnen Zugriffe dieser Art, denn dagegen habe ich ja Maßnahmen ergriffen.
#Mich beängstigt der drastische Anstieg dieser "Popelangriffe" in den letzten Tagen.
Fast täglich eine Verdoppelung der fail2ban-(Filter: recidive)-Fälle, also derjenigen, die nicht aufgeben.
Der Anstieg beängstigt mich deshalb, weil ich daraus schließe, dass täglich neue Hosts diesem simplen Angriff zum Opfer fallen und nun ebenfalls infiziert sind. Das Bot-Netz wächst also täglich!
Liebe Grüße
Tom S.
Hallo TS,
Eigentlich schade, dass mir keiner richtig zuliest. :-(
Eigentlich schade, dass du CK, dedlfix und Regina nicht richtig zuliest. Ich würde ihrer Expertise bedenkenlos vertrauen und weder Zeit noch Nerven verschwenden.
#Mich beängstigt der drastische Anstieg dieser "Popelangriffe" in den letzten Tagen.
Inwiefern ist das eine Überschrift?
Bis demnächst
Matthias
Hello,
Inwiefern ist das eine Überschrift?
Ja, das ist eine Überschift. Habe ich doch auch so gekennzeichnet. Habe ich das falsch gemacht? Sie leitet den darauf folgenden Abschnitt ein.
#BTW:
Ich habe mir schon etwas dabei gedacht, das ich meine Beobachtungen hier mitteile und meine Fragen dazu stelle. Allerdings hatte ich eher auf den einen oder anderen Mitbeobachter und -denker und gehofft, und nicht auf konservativ geprägte Gängeleien und unterschwellige Herabwürdigungen!
Ich habe nur drei Hosts bei unterschiedlichen Providern und versuche, die Beobachtungen bei den Hosts zu koppeln. Das geht schneller, als auf öffentliche Blocklists zu warten (die trotzdem laufen können), bei denen ich aber immer noch nicht weiß, wer sie pflegt und wie ich dazu beitragen kann. Deshalb meine Frage danach, wer sich denn dafür (für die Angriffsbeobachtungen) interessiert.
Wenn Du meinst, eine Diskussion zu diesem Thema unterdrücken zu müssen, dann trage das bitte beim Treffen vor und begründe es bitte.
Liebe Grüße
Tom S.
Tach!
Ich habe mir schon etwas dabei gedacht, das ich meine Beobachtungen hier mitteile und meine Fragen dazu stelle. Allerdings hatte ich eher auf den einen oder anderen Mitbeobachter und -denker und gehofft, und nicht auf konservativ geprägte Gängeleien und unterschwellige Herabwürdigungen!
Mir scheint, du hast gehofft, jemanden zu finden, der genau deine Meinung bestätigt. Das hat nur nicht funktioniert, weil das Thema halt für andere nicht weiter interessant ist, wenn die Server so konfiguriert sind, dass sie diese Art Angriffe nicht weiter stören. Da muss man dann auch nichts weiter tun, außer mit Fail2Ban etwas mehr Ruhe in die Logfiles zu bringen.
dedlfix.
Hello,
Ich habe mir schon etwas dabei gedacht, das ich meine Beobachtungen hier mitteile und meine Fragen dazu stelle. Allerdings hatte ich eher auf den einen oder anderen Mitbeobachter und -denker und gehofft, und nicht auf konservativ geprägte Gängeleien und unterschwellige Herabwürdigungen!
Mir scheint, du hast gehofft, jemanden zu finden, der genau deine Meinung bestätigt. Das hat nur nicht funktioniert, weil das Thema halt für andere nicht weiter interessant ist, wenn die Server so konfiguriert sind, dass sie diese Art Angriffe nicht weiter stören. Da muss man dann auch nichts weiter tun, außer mit Fail2Ban etwas mehr Ruhe in die Logfiles zu bringen.
Fast richtig, aber trotzdem leider falsch:
Ich habe gehofft, jemanden zu finden, der ähnliche Beobachtungen gemacht hat und mir seine eigene Meinung dazu mitteilen mag.
#Ich wiederhole:
Seit dem 24. Juni 2018 stelle ich auf meinen kleinen drei Hosts einen erheblichen Anstieg eines bestimmten Angriffsmusters fest. Ich kannte das bisher nicht in dieser Masse.
Gegen Expertise habe ich nichts, aber auch nicht gegen gutartige Spekulationen. Um weiterzukommen, benötigt man diese. Und ich mag nicht, dass Diskussionen und Spekulationen über die Beobachtungen hier unterdrückt werden!
Liebe Grüße
Tom S.
Aloha ;)
Gegen Expertise habe ich nichts, aber auch nicht gegen gutartige Spekulationen. Um weiterzukommen, benötigt man diese. Und ich mag nicht, dass Diskussionen und Spekulationen über die Beobachtungen hier unterdrückt werden!
Dass niemand mit dir darüber diskutieren möchte, weil offenbar niemand außer dir das spannend findet, und, dass dann jemand versucht dir klarzumachen, dass das außer dir niemand spannend findet, ist was anderes als ein „Unterdrücken von Diskussionen und Spekulationen“.
Grüße,
RIDER
Hallo TS,
Ich habe mir schon etwas dabei gedacht, das ich meine Beobachtungen hier mitteile und meine Fragen dazu stelle. Allerdings hatte ich eher auf den einen oder anderen Mitbeobachter und -denker und gehofft, und nicht auf konservativ geprägte Gängeleien und unterschwellige Herabwürdigungen!
Ah, verstehe. Andere sehen die Dinge anders als du, deshalb sind sie „konservativ geprägt“ und „gängeln dich.“
Da kann ich nur den Kopf schütteln. Wenn du einen Chor aus Yes-Men erwartest, schreib das doch direkt dazu.
Nach diesem Rundumschlag wüsste ich nicht, warum ich dir das nächste mal antworten sollte.
LG,
CK
Hello lieber Christian,
ich freue mich ja darüber, dass Ihr mich beruhigen wollt und mir (virtuell) väterlich über das Haar streicht: "Ist doch alles nicht so schlimm, dafür gibt es doch Medizin".
Ich würde mich aber auch freuen, wenn ich hier trotzdem über die Zusammenhänge und die möglichen Folgen der beobachteten "Krankheit" diskutieren dürfte. Wer zu dieser Diskussion nichts substantielles beizutragen hat, möge doch bitte zumindest die persönlichen Angriffe unterlassen, nur weil er eine feste Meinung zum Thema hat, die seiner Meinung nach keine Diskussion duldet!
Deine Beiträge zum Thema habe ich gelesen und die geringen (nicht quantifizierten) neuen Erkenntnisse für meine Überlegungen berücksichtigt. Mehr würde es mir aber helfen, Zahlen und Fakten lesen zu dürfen. "Grundrauschen" sollte statistisch konstant sein. Ich habe einen gravierenden Anstieg beobachtet und daher nachgefragt, ob es weitere ähnliche Beobachtungen gibt in der Runde der Leser.
Liebe Grüße
Tom S.
Ich habe nur drei Hosts bei unterschiedlichen Providern und versuche, die Beobachtungen bei den Hosts zu koppeln.
Das hat zwar was von Eigenbrötlerei, kann aber ganz einfach sein: Du filterst mit grep
, sed
und cut
die geblockten IPs aus (sudo iptables -L
kann hilfreich sein, wenn Du so Root-Rechte erlangen kannst) - auch das hier kommt in Betracht - und stellst die auf den jeweiligen Hosts in eine via http[s] abrufbare Datei ein.
Den Rest besorgt dann das Skript, auf welches ich bereits verwiesen habe. Du musst nur die URLs für Deine eigenen Listen hinzufügen.
Mehr würde es mir aber helfen, Zahlen und Fakten lesen zu dürfen. "Grundrauschen" sollte statistisch konstant sein.
Du kannst bei blocklist.de allerhand nachlesen. Auch Statistiken. Da steht auch, wer da (wie) mitmacht.
Im Übrigen ist ein "Rauschen" nie wirklich konstant. Wenn eines der Skriptkiddies auf eine für toll gehaltene Idee kommt, dann grasen dessen Skripte ganz bewusst ganz bestimmte IP-Adressbereiche, z.B. die bekannten Netzbereiche mit den Kundenservern bei strato, 1und1, hosteurope und sonstwem ab. Das hat eben solche "Lastspitzen" zur Folge, wie die, die Dich ängstigt. Da muss man als Admin auch mal eine breite Brust und Vertrauen in sich haben können und sich nicht so aufregen, wie Du es durch den Gebrauch von Überschriften dokumentierst.
Es ist im Übrigen ziemlich wahrscheinlich, dass die von Dir gesehenen Aktionen über Tor kommen. Du solltest einen Blick auf die Tor-Exits haben. Ob Du diese pauschal sperren willst oder von den Sperren ausnimmst musst Du entscheiden.