lordgurke
Goto Top

Offene Proxyserver

So wie im Anhang sieht dann übrigens eine Switchportstatistik aus, wenn auf dem angeschlossenen System unbemerkt (und unbeabsichtigt) ein offener Proxyserver auf Standardport läuft.
Dass das direkt ausgenutzt wird war mir schon vorher klar - aber ich hatte vermutet, dass man versucht so etwas eher unbemerkt zu missbrauchen um nicht sofort aufzufallen.
Hier stand dann irgendwann die Maschine so unter Dampf, dass nicht mehr viel anderes ging - und dann letztlich gegen 19:40 Uhr vom Netz genommen wurde o_O
Da muss einmal halb Youtube runtergeladen worden sein... *kopfschüttel*

Aber so schnell kann es gehen: ACL nicht richtig gesetzt und Firewall filtert den Port nicht, schon tobt die halbe Welt auf dem Proxyserver und binnen kürzester Zeit steht der Server auf diversen Blacklisten face-wink
openproxy-pub

Content-Key: 302286

Url: https://administrator.de/contentid/302286

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: 119944
119944 20.04.2016 um 10:36:12 Uhr
Goto Top
Das hat mir der nette Mann vom Barracuda Support auch mal erzählt, dass sie so etwas schonmal bei einem Kunden hatten und dieser sich wundert warum nichts mehr geht. face-smile
Vermutlich suchen Bots direkt danach und veröffentlichen die Server dann auf diversen Seiten...

VG
Val
Mitglied: LordGurke
LordGurke 20.04.2016 um 11:58:24 Uhr
Goto Top
Für Sie getestet:
Es dauert ca. 40 Minuten, bis der erste Bot auf meinem Honeypot vorbeigeschaut hat, danach waren ca. 3 min später schon über 20 Clients verbunden die darüber hauptsächlich Spam auf Kommentarfunktionen verbreitet haben. Als dann mehrfach Connects zu Paypal kamen, habe ich das Experiment lieber abgebrochen face-wink
Mitglied: Aicher1998
Aicher1998 30.04.2016 um 12:09:30 Uhr
Goto Top
Zitat von @LordGurke:

Für Sie getestet:
Es dauert ca. 40 Minuten, bis der erste Bot auf meinem Honeypot vorbeigeschaut hat, danach waren ca. 3 min später schon über 20 Clients verbunden die darüber hauptsächlich Spam auf Kommentarfunktionen verbreitet haben. Als dann mehrfach Connects zu Paypal kamen, habe ich das Experiment lieber abgebrochen face-wink

Ist das ein bekannter Server? Oder dürfte das bei meinem Server ohne Domainnamen auch gehen?
Mitglied: Aicher1998
Aicher1998 30.04.2016 um 12:10:13 Uhr
Goto Top
Zitat von @119944:

Vermutlich suchen Bots direkt danach und veröffentlichen die Server dann auf diversen Seiten...

Zum Beispiel bei shodan
Mitglied: LordGurke
LordGurke 30.04.2016 um 13:24:22 Uhr
Goto Top
Du musst dafür einen offenen Proxyserver laufen haben, sonst geht das natürlich nicht. Ob da eine Domain drauf zeigt oder nicht ist vollkommen egal.
Testen kannst das, indem du deinen Server als Proxyserver in deinen Browser einträgst und versuchst dadurch zu surfen - wenn das funktioniert, werden Bots das in der Regel auch ziemlich schnell merken...
Mitglied: Aicher1998
Aicher1998 30.04.2016 um 13:43:45 Uhr
Goto Top
Du meinst, dass die Webseiten die ich aufrufe die Proxy IP an Bots weiter geben?