total genervt von "script-kiddies"

[wolf]

servus leute,
also ich muss einfach mal meinem ärger luft machen:
wer von euch hat einen eigenen server laufen, http/ftp/oder sonstwas?
und wer von euch ist nicht auch total genervt von diesen absolut nervenden kilometerlangen script-kiddie-attacken?!
meine logs laufen über vor lauter mist!
und das wird immer schlimmer! heut hab ich mal reingeschaut und was sehe ich?! da scheint doch irgendwo ein sicherheitsloch in nem webserver zu sein, der anscheinend durch einen pufferüberlauf in einer überdimensionalen search-anfrage ausgenutzt werden kann. in den letzten 2 tagen allein log-schrott von 15mb! das muss man sich mal vorstellen!


ps:kann man da irgendwas machen, was die sache an den wurzeln packt, also nicht nur automatisch logs "reinigen" lassen oder so?

 

[IntelOut]

Kommt doch nur darauf an, WEM Du die Adresse oder Zugriff gewährst ...
... und was IRC angeht ...
... da hat man entweder das passende Script oder Addon, und dann ist Ruhe

 

[BOZ_er]

Seh die sache positiv und lerne aus den Angriffen auf deinen Server. Das is die Methode des Honey Pots

gewährst du denn anonymen Zugriff auf deinen FTP? Ich meine ansonnsten ist nen FTP doch absolut dicht?!

 

[Blutschlumpf]

Ich glaube ihr wisst gar nicht, was wolf meint.
Es geht nicht um anonymen Access, sondern und Anfragen, die dadurch zustandekommen, dass ein 15 Jähriger ein Script gegoogelt hat, das irgendeine Sicherheitslücke (Buffer Overflow) z.B. im IIS ausnutzt und dann an 10.000 IPs ausprobiert obs wirklich klappt.

Das sieht dann im Log etwa so aus wie im Screenie (Apache) und füllt so ein Logfile recht zügig.

 

[wolf]

@blutschlumpf:
irgendwie kommt mir dieses log bekannt vor, moment, meins sieht ja genauso aus!

 

[Schattenkanzler]

Hmm, dann habt ihr doch die IP von dem Kiddie, oder sehe ich das jetzt grad mal falsch? Wenn ihr sie habt - Email an den Provider und meckern, was das Zeug hält. Ok, wenn es nur einer macht, dürfte nix passieren, zumindest nicht, wenn kein erheblicher Schaden aufkommt. Wenn sich aber 200 Leute melden, die alle das gleiche Problem haben, dann kann es was bringen...nicht viel, aber etwas!

Greets - SK

 

[ALCx]

Du hast folgende Möglichkeiten:

1. Alle Ports sperren, die nicht benötigt werden.
2. Alle neuesten Sicherheitspakete installieren.
3. Logfile abschalten.
4. Die IP's den entsprechenden Providern melden, mit Betreff das die IP versucht hat dich zu haken.

War vor Jahren selber mal so ein "Script-Kidie" und habe alles Mögliche ausprobiert(Trojaner und so), rein neugierehalber. Die Folge daraus war, das mir mein Provider die Flatrate gekündigt hat, weil ich es unbedingt auch in Deutschland ausprobieren musste (Ausland kein Problem). Die Provider haben meist eine abuse@ Adresse, wo solche Fälle gemeldet werden sollten. Die Provider reagieren schon darauf.

 

[wolf]

ja gut, also alle nicht benötigten ports sind sowieso gesperrt, und sicherheitspatches spiel ich alle 2 tage ein.
is doch verdammt aufwendig, alle, die da versuchen reinzukommen, beim provider zu melden! logs analysieren, ip's den providern zuordnen, email-adressen raussuchen.
ich denk das wär mal ein cooles projekt! ein programm, das alle logs automatisch -was-weiß-ich- alle stunde analysiert werden, dann die ip's mit uhrzeiten an die provider sendet.
oder gibts sowas schon?

 

[ALCx]

Sowas sollte machbar sein, bzw. gibt es bestimmt schon. Habe das hier grade gefunden:

http://www.jr-cds.de/Provider-Liste.htm

Dahinter steht auch ob es sich lohnt oder nicht(Accountsperre). Wie aktuell die Liste ist...keine Ahnung(gibt bestimmt noch mehr solcher Listen). Also wenn es jemand richtig versucht(kein Portscannen) und das mehrmals, lohnt sich solch eine Mail schon. Ansosnsten hilft nur Logfile abschalten, oder auf eine Gigabbytegroße Partition zu verlegen .

 

[IntelOut]

Fängt denn solche Angriffe nicht ne Firewall ab ?

Mir ist ein Fall bekannt, wo ein "Hacker" der auch noch ein Internet Cafe betrieben hat, zu einer Geldstrafe von ca 50000 DM verurteilt worden ist und sein Laden wurde dicht gemacht ...

 

[ALCx]

Fängt denn solche Angriffe nicht ne Firewall ab ?

Den größten Teil(richtige Konfiguration vorrausgesetzt)schon . Läuft aber ein Webserver, muss TCP Port 80 nunmal offen sein. Über diesen Port erfolgen dann auch die Angriffe direkt auf den Webserver. Gewisse Sachen können Firewalls auch bei den offenen Ports filtern(gewisse Protokolle werden nicht durchgelassen, gewisse Eindringmethoden werden verhindert etc.).

 

[IntelOut]

Das meinte ich ja.
Also liegt es dann daran, das die Firewall das "Protokoll" des Angreifers / Spions nicht kennt und ungehindert durchläßt.

Aber eigentlich macht doch die Wall auch dicht oder blockt die IP, wenn zu viele Anfragen der selben IP eintreffen, oder liege ich da falsch ?
Also bei Symantec war das glaube ich so (in Verbindung mit Filesharing).

 

[Blutschlumpf]

Was soll ne Firewall denn da machen, das ist ein ganz "regulärer" Seitenaufruf. Und den Port zu sperren wär Schwachsinn, denn es sind ja eh nur Rechner angreifbar, die nen Webserver am laufen haben, sprich wo der Port offen sein muss.

Kommt doch mal von der bescheuerten Vorstellung weg, dass ne Firewall ein System zwangsläufig sicher macht.

 

[IntelOut]

Zumindest bekommt man das Gefühl, sicher zu sein
Die totale Sicherheit gibbet nicht, genauso wie es keine Fehlerfreie Software gibt.

 

[wolf]

hab grad mal ganz präventiv meine server-software geupdatet.
ich könnt mir vorstellen, dass sowas auch wirtschaftlich nicht so ganz ohne ist.
mann stelle sich vor, dass ungefähr jeder server im internet täglich zig-megabyte-weise log-schrott aufgeladen kriegt. was da an unnötigem traffic etc. entsteht!

 

[Blutschlumpf]

Das macht dann bei aktuellen Trafficpreisen 5 Euro pro Jahr, wer sich nen Server leisten kann, den wird das nicht umbringen

 

[wolf]

auch wieder wahr!