WebServer Hacker vom System aussperren

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Gesperrt
eTrax
Beiträge: 35
Registriert: 30.12.2001 18:37:42
Wohnort: Hilden
Kontaktdaten:

WebServer Hacker vom System aussperren

Beitrag von eTrax » 28.02.2002 17:35:16

Hi,
habe bei mir nen Linux-Rechner als Server über DSL im Internet hängen mit DynDNS.
Möchte meinen WebServer weiter betreiben, es tauchen aber jetzt immer öfters Einträge folgender Art in meinen LogFiles auf:
217.85.223.52 - - [24/Feb/2002:06:48:58 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282 "-" "-"
217.85.223.52 - - [24/Feb/2002:06:48:59 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 280 "-" "-"
217.85.223.52 - - [24/Feb/2002:06:49:01 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290 "-" "-"
217.85.223.52 - - [24/Feb/2002:06:49:02 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290 "-" "-"
217.85.223.52 - - [24/Feb/2002:06:49:03 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"

Anscheinend versucht da jemand, meinen WebServer zu hacken, dummerweise geht er aber von einer Win-Installation aus (wohl momentan noch mein Glück). Gibt es da irgendeine Möglichkeit, den Angreifer auszusperren??? Auf dem Rechner läuft ein 2.4er Kernel mit Netfilter/IPTables.
Hat jemand ne Ahnung, wie man sowas aus den Apache LogFiles macht, bzw. andere Möglichkeit wäre wohl der Einsatz von Snort, von dem ich bis jetzt noch keine Ahnung habe.

Martin

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 28.02.2002 18:53:17

Nur so ne Idee:

1. Du könntest auf Protokollebene sämtliche Verbindungen aus dem "Hacker"-Netz oder von der "Hacker"-IP sperren

2. Du könntest in der Apache-Konfiguration (/etc/apache/httpd.conf) eine ff. Direktive einfügen:

Code: Alles auswählen

<directory />
  Order deny,allow
  allow from all
  deny from xxx.xxx.xxx.xxx
</directory>
Dabei würde jede HTTP-Verbindungsanfrage von IP-Adresse xxx.xxx.xxx.xxx mit "Not authorized" abgewiesen werden.

Über den Erfolg/Mißerfolg solcher Maßnahmen kann man sich streiten. Da der Großteil der Internet-User per dynamischer IP unterwegs ist, die sich mit jeder Einwahl ändert, bezweifle ich aber, das Du damit wirkungsvoll solche "Angriffe" abwehren kannst.

Roarin
Beiträge: 462
Registriert: 04.01.2002 18:27:23
Wohnort: Burgfarrnbach (Fürth/Nürnberg)
Kontaktdaten:

Beitrag von Roarin » 01.03.2002 07:26:27

ises nich möglich die MAC adresse den angreifers herauszufinden und diese zu sperren?

Aber ich denke mal wenn er vone einer Win installation ausgeht wird das nicht der crack sein und irgendein programm benutzen...

Greeetz

k-pl
Beiträge: 587
Registriert: 11.01.2002 11:26:44
Wohnort: München
Kontaktdaten:

Beitrag von k-pl » 01.03.2002 08:15:15

Ich glaube nicht dass das geht, da der Angreifer wohl nicht im gleichen Segment sitzt. Nur innerhalb eines Segmentes wird mittels arp kommuniziert.
Wenn das kommunizieren mittels MAC auch segmentübergreifend gehen würde, bräuchten wir kein TCP/IP.

k-pl

eTrax
Beiträge: 35
Registriert: 30.12.2001 18:37:42
Wohnort: Hilden
Kontaktdaten:

Beitrag von eTrax » 01.03.2002 10:05:09

Moin,

das mit der MAC Adresse wäre sicherlich das sinnvollste, aber wie vorher erwähnt nicht möglich.

Vielleicht erläutere ich noch ein wenig, was mir da so an Lösung vorschwebt:

Rechner hat ein festes IPTables-Skript, dass täglich neu gestartet wird, immer nach dem Reconnect des DSL-Modems.

Auf der ppp0 lauscht ein Proggi (wohl Snort) und überprüft http Anfragen auf vorkommende Strings wie z.B. /winnt /scripts. Wird ein solcher String gefunden, wird die Remote IP über eine temporäre Erweiterung (bis zum nächsten Reconnect) der IPTables-Filter ausgesperrt.
Alternativ nutzt man ein Logging-Analyse Tool wie SWATCH oder Analog um in der Apache access.log nach den Strings zu suchen, und ebenfalls temporäre Filter anlegt.

So kommt man eigentlich auch recht gut mit dynamischen IPs der Remote-Rechner zurecht: Die IPs werden maximal 24h gesperrt, so dass Surfer, die durch Zufall eine der gesperrten IPs bekommen nach 24h den WebServer-Dienst auch wieder nutzen können. Angreifer werden sofort nach dem ersten Versuch ausgesperrt.

Habe mal probiert, per Hand während einer Attacke über iptables -A INPUT -s IP des Angreifers -j DROP den Angreifer auszusperren, jedoch erfolglos, was meinem Verständnis wohl daran liegt, dass er die Regel hinten angefügt hat, ein Einfügen am Anfang würde sicherlich Abhilfe schaffen...

Leider habe ich zu den Tools nur kurze Beschreibungen in meinem Security-Buch gefunden, muss also noch ein wenig man-Pages und HowTos wälzen...

Vielleicht ist ja jemand schon weitergekommen, ansonsten gibts demnächst mal wieder einen Status-Report.

Martin

k-pl
Beiträge: 587
Registriert: 11.01.2002 11:26:44
Wohnort: München
Kontaktdaten:

Beitrag von k-pl » 01.03.2002 11:26:29

Das hört sich doch super an. Wenn Du es implemeniert hast, dann poste doch deine Scripts hier.

k-pl

eTrax
Beiträge: 35
Registriert: 30.12.2001 18:37:42
Wohnort: Hilden
Kontaktdaten:

Beitrag von eTrax » 01.03.2002 18:15:51

So,

das manuelle Ändern der IPTables funktioniert jetzt, statt
iptables -A INPUT -s IP_des_Angreifers -j DROP
iptables -I INPUT -s IP_des_Angreifers -j DROP
benutzen, damit wird die Regel an den Anfang der INPUT-Chain gestellt.

Log-File-Analysierer kann man wohl erstmal nach hinten stellen, müsste man als Cron-Job jede Minute (oder Sekunde für Echtzeit-Shutz) ausführen

Snort sieht da schon besser aus: lauscht am Interface und wertet den Traffic an Hand einiger Regeldefinitionen aus. Es läßt sich so konfigurieren, dass bei Übereinstimmung protokolliert wird, eine Message an die Konsole oder übers Netzwerk eine Win-PopUp-Meldung geschickt wird bzw. das Paket komplett verworfen wird. Das bei Woody installierbare Package ist was älter, unter http://www.snort.org gibts die aktuelle Version 1.8.3 und eine umfangreiche Regelsammlung.

Werde jetzt mal die Nacht abwarten und morgen sehen, was die Logfiles noch zu melden haben...

Martin

eTrax
Beiträge: 35
Registriert: 30.12.2001 18:37:42
Wohnort: Hilden
Kontaktdaten:

Neues von der Front

Beitrag von eTrax » 01.03.2002 21:01:48

Also ich hab mir jetzt mal den Spass erlaubt mal zu sehen, wer hinter den Angreifern steckt...

Also von Snort Meldung machen lassen, danach ein
host IP_des_Angreifers
nmap -P0 IP_des_Angreifers

und siehe da, es kommt immer eine dynamische IP der Telekom raus (DSL), auf dem Rechner sind relativ viele Ports offen (>25), und auf ihnen läuft jeweils ein Web-Server (muss wohl ein MS IIS sein, da Snort auch Code Red v2 Attacks protokolliert) mit der Homepage des Besitzers.

Die Homepages sind ja recht lustig anzusehen, nur die vielen Fenster meiner AntiVirensoftware sind ein wenig störend...

Wer einen Rundumschlag relativ aktueller Viren und Würmer haben möchte, dem stelle ich gerne einen Auszug der Logfiles zur Verfügung...

Habe noch einen Tipp an die Webmaster hinterlassen, vielleicht wissen die ja garnichts von ihren Untermietern...

Snort funktioniert also recht zuverlässig, momentan lasse ich über die Standardregeln erstmal nur alles mitloggen, das abändern in blocken werde ich dann am Wochenende vornehmen...

So viel erstmal von der Front...

Martin

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: WebServer Hacker vom System aussperren

Beitrag von Lord_Carlos » 28.06.2017 09:39:27

Ist dies ein Rekord?
Hat schon jemand mehr als 15 Jahre geschafft?

Ich fing an zu lesen und dachte mir "Kernel 2.4? Typisch Debianforum.de user .." :D

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: WebServer Hacker vom System aussperren

Beitrag von heisenberg » 28.06.2017 09:48:35

eTrax hat geschrieben:Anscheinend versucht da jemand, meinen WebServer zu hacken...
Willkommen im Internet. Das ist der Normalfall. Sieh zu, dass Dein Server und deine Anwendungen(Webseiten) sicher konfiguriert sind. Solche Requests können irgendwann auch mal etwas Last verursachen, vor allem dann, wenn PHP-Scripte, die ja etwas mehr Resourcen brauchen als statische HTML-Dateien ständig auf Schwachstellen bzw. Passworte durchprobiert werden.

Dann kannst Du mit Debianfail2ban arbeiten. Das überwacht Logfiles anhand von Deinen Mustern und kann darauf basierend Aktionen ausführen(In der Vorlage sind z. B. iptables-sperren drin.) Am besten noch mit steigenden Bannzeiten für Wiederholungstäter. (Google: f2bloop)
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

owl102

Re: WebServer Hacker vom System aussperren

Beitrag von owl102 » 28.06.2017 10:18:31

Lord_Carlos hat geschrieben:Ist dies ein Rekord?
Hat schon jemand mehr als 15 Jahre geschafft?
Der komplette Beitrag ist lediglich ein Ausschnitt aus dem Beitrag viewtopic.php?p=1508#p1508 . Also ist der Grabschänder wohl ein Bot, der demnächst anfängt zu spammen...

@heisenberg Eine ernsthafte Antwort nach 15 Jahren? Meinst du das ernst?

Benutzeravatar
TRex
Moderator
Beiträge: 8039
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: WebServer Hacker vom System aussperren

Beitrag von TRex » 28.06.2017 11:10:51

Bitte nicht auf sowas antworten, dann machts auch Sinn, den Beitrag wieder zu löschen... DANKE!
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Gesperrt