Kennt sich jemand mit BlackArch aus?

[n/a]

Mahlzeit... Ich würde gerne wissen, ob es Anfängertools bzw. -Scripts gibt, um die Sicherheit einer Website zu testen... Bei über 2000 Tools steige ich leider nicht durch. Vielleicht ist das hier auch nicht die richtige Anlaufstelle, aber fragen kann man

Mich vereinzelt wahllos durch YouTube-Videos zu klicken, halte ich für weniger zielführend

 

[BFF]

Was willst Du denn an Deiner eigenen Seite testen?

https://www.blackarch.org/webapp.html

Einfach mal so drauf los ist nicht.

Such in einer Suchmaschine Deiner Wahl nach „check security of a website online“ und schau Dir bei den Anbietern an was da untersucht wird. In BlackArch nimmst Du dann das entsprechende Tool für die einzelnen Aufgaben.

 

[Piktogramm]

Mich vereinzelt wahllos durch YouTube-Videos zu klicken, halte ich für weniger zielführend

Hacking ist glorifiziertes Lesen von Dokumentation, Standards, Dokumentation, Papern, Dokumentation, Quelltext, Dokumentation und ein bisschen Anwenden von Softwaretools (während man die Dokumentation zu diesen liest).
Naja und jedesmal wenn man Stellen findet die man beim Lesen nicht versteht geht es darum Grundlagenwissen zu lernen und/oder aufzufrischen, indem man Dokumentation liest.

Bonuspunkte gibt es, wenn man ein bisschen Dokumentation dabei schreibt, damit die Kolleg·innen was zum Lesen haben!

 

[n/a]

Was willst Du denn an Deiner eigenen Seite testen?

Hmm, die 10 häufigsten Angriffsvektoren 🤣

Nein, Spaß... wenn ich das so genau wüsste, wäre ich schon einen Schritt weiter

https://www.blackarch.org/webapp.html

Danke, nicht gesehen, dass die Tools noch einmal unterteilt sind

Einfach mal so drauf los ist nicht

Etwas Hintergrundwissen habe ich schon, aber nicht sehr viel, deshalb suche ich einen Einstieg in pen test tools...

Nebenbei, es gibt da auch noch zwei andere: https://www.techtarget.com/searchsecurity/tutorial/Intro-How-to-use-BlackArch-Linux-for-pen-testing

Such in einer Suchmaschine Deiner Wahl nach „check security of a website online“ und schau Dir bei den Anbietern an was da untersucht wird

Dann kann ich ja auch gleich nur diese Anbieter nutzen... (wenn free)

 

[Piktogramm]

mm, die 10 häufigsten Angriffsvektoren 🤣

Nein, Spaß... wenn ich das so genau wüsste, wäre ich schon einen Schritt weiter

https://duckduckgo.com/q=most+common+vulnerabilities
(in den obersten Suchergebnissen sollte Owasp, Cisa, mitre zu finden sein)

Etwas Hintergrundwissen habe ich schon, aber nicht sehr viel, deshalb suche ich einen Einstieg in pen test tools...

Imho, hättest du Hintergrundwissen, oder mindestens Wissen um Grundlagen, könntest du eigene Ansätze formulieren, bei denen dir entsprechend auch zu helfen wäre. Das was du bisher zeigst ist ein "bitte helft mit beim Dasein als Scriptkiddie".
Und um gleich die "das ist nicht hilfreich"-Reaktion vorwegzunehmen. Das formulieren des eigenen Wissenstands und daraus folgender eigener Ansätze ist das Minimum in der Lehre, Studium, als Anfänger in IT-Sec Buden.

 

[n/a]

könntest du eigene Ansätze formulieren

Das formulieren des eigenen Wissenstands

Die Aussagen passen irgendwie nicht zusammen, denk mal darüber nach...

Wer weiß, dass er nicht viel weiß, weiß mehr als der, der vorgibt, viel zu wissen

Aber gut

... das ist von heute. Ich möchte wissen, wieso es über 1000 Versuche auf sshd gab. ssh ist der letzte Service, den ich bei einem Webserver versuchen würde anzugreifen. Das eigentliche Ziel muss also ein anderes sein

Das kannst du mir jetzt sicher beantworten, bin gespannt

 

[dms]

ssh ist der letzte Service, den ich bei einem Webserver versuchen würde anzugreifen.

Trenne dich doch mal vom Begriff angreifen, da kommen tausende Connects und versuchen deine "Tür" aufzuschliessen ... warum? Weil sie es können - du hast einen SSH-Port eben scheinbar im Status "listen" ... erst wenn die Tür aufgeht kommt das nächste Skript macht Inventur, oft irgendwas kaputt und zieht weiter

 

[Piktogramm]

Das ist kein Widerspruch. Ansätze kann formulieren, wer Wissen hat. Das formulieren von Ansätzen zeigt das eigene Wissen.

Und bei deiner Frage zu SSH zeigst du schonmal, dass du nicht grundlegend begriffen hast, dass das Bereitstellen einer Webseite über einen Webserver und SSH zwei verschiedene paar Schuhe sind.

Das SSH bzw. Port 22 abgeklopft wird ist total normal. Bei den Mengen an Standardlogins und schlechten Passwörtern vieler Geräte im Netz ist das ausreichend ergiebig, dass es sich lohnt alles mit einer öffentlichen IP abzuklopfen.

Und @n/a die interessante Frage wäre, welche Maßnahmen es geben könnte um entsprechende Meldungen zu begrenzen.

Ergänzung (6. Juli 2025)

macht Inventur, oft irgendwas kaputt und zieht weiter

Es ist schon lange so, dass die meisten Angreifer ehe Dinge in Ordnung bringen, damit nicht noch weitere böswillige Parteien Zugriff erlangen können.

 

[BFF]

den ich bei einem Webserver versuchen würde

Webserver ist nur ein Dienst.
Auf dem Server selbst kann durchaus noch anderes aka sshd, ftp, sql, wasimmer noch aktiv sein.

 

[n/a]

da kommen tausende Connects und versuchen deine "Tür" aufzuschliessen ... warum? Weil sie es können - du hast einen SSH-Port eben scheinbar im Status "listen" ... erst wenn die Tür aufgeht kommt das nächste Skript macht Inventur, oft irgendwas kaputt und zieht weiter

Heißt, ich sollte nicht so viele Bedenken haben?

Ich brauche aber zwingend einen offenen ssh-Port auf dem Server (in meinem Anwendungsfall)

 

[Piktogramm]

Und, wie viele Ports hast du zur Auswahl um SSH darauf antworten zu lassen?

 

[dms]

Heißt, ich sollte nicht so viele Bedenken haben?

genau eben nicht - dir muss klar sein das du nun ein System hast wo du es mit dem Pacthmanagement ernster nehmen musst und manches 0-Day in irgendeinem Paket für dich Kritikal sein wird.

Augenmass und Routine

 

[n/a]

wie viele Ports hast du zur Auswahl

viele... aber der sshd läuft schon auf einem Port >1024

Auf dem Server selbst kann durchaus noch anderes aka sshd, ftp, sql, wasimmer noch aktiv sein

ja, ein httpd (80 zu, 443 auf) und zwei "Geheimdienste", die ich jetzt nicht explizit auflisten möchte

Pacthmanagement ernster nehmen musst

ok, das vernachlässige ich auch nicht

 

[dms]

Ich betreibe selber keine Server mehr.

"früher" hat man den Angriffsvekor verringert durch eine zuätzliche Software

Als Muster nicht als Handlungsanleitung:

Port Knocking - https://de.linux-console.net/?p=4369

Welche krasser Gegensatz (die Erhöhung von SW-Komplexität sehe ich kritisch) .. eine weitere Software soll mich retten

Ergänzung (6. Juli 2025)

viele... aber der sshd läuft schon auf einem Port >1024

Seufz das Umbiegen der "Standardports" bringt Null Nixx

Ergänzung (6. Juli 2025)

zwei "Geheimdienste", die ich jetzt nicht explizit auflisten möchte

uU schlummert dann in diesen Diensten genau die Lücke

 

[n/a]

Port Knocking

Es verweigert den Zugriff auf einen geschützten Port, bis ein Client im Voraus auf eine Reihe anderer Ports in der richtigen Reihenfolge zugreift.

Verzeihung, aber das klingt etwas nach Hokuspokus bzw. einer Scheinsicherheit... (auch wenn es ggf. helfen würde)

 

[Piktogramm]

Seufz das Umbiegen der "Standardports" bringt Null Nixx

Normalerweise gibt es weniger Spam im Logfile, wenn man nicht ausversehen einen Port wählt, der durch eine andere, weit verbreitete Software genutzt wird.

 

[dms]

Seufz, wenn du meinst - mag nicht streiten .. der andere SW Thread schreckt mich da nur ab

Friede mit Dir und deinem Server

 

[Piktogramm]

Verzeihung, aber das klingt etwas nach Hokuspokus bzw. einer Scheinsicherheit... (auch wenn es ggf. helfen würde)

Das ist kein Sicherheitsfeature, es ist ein "Spam mir nicht die Logs voll"-Feature.
Wobei kompaktere Logs ja durchaus helfen.

 

[n/a]

Ok, habe mich eingelesen... Port Knocking könnte tatsächlich eine valide Möglichkeit sein, um die Log Files schlank zu halten

Allerdings brauche ich dafür entweder iptables-persistent (für iptables-save) oder ufw - und beides verträgt sich nicht gut fail2ban

Ich lasse es daher und kann mit ca. 1500 Logeinträgen pro Tag leben

der andere SW Thread schreckt mich da nur ab

... ich schreibe schon extra nur mit Fingerspitzen 😬

 

[1lluminate23]

Ich finde es immer lustig, wenn "Script-Kiddies" Hilfe in einem Computerforum suchen. Nimms mir nicht krumm! Aber wenn du Pech hast, sperrt der Provider deinen Internetzugang, von dem die Attacken gestartet wurden. Dann ist Schluss mit Listig. Glaub mir, ich war da, wo du jeder stehst vor über 20 Jahren. Bin damals per Wardriving durch Köln gefahren. Hat sich echt geöphnt...