get rid of ScriptKiddies und sonstigen Angreifern

Dieses Tutorial entsteht auf vielfachen Wunsch.
Sicher ist das Tutorial nicht komplett, daher würde ich mich sehr freuen, wenn sich die Leute per PN melden, damit das Tutorial nach und nach wachsen, oder sich der aktuellen Rechtslage anpassen kann.

Um das oben Geschriebene gleich zu korrigieren:
Ich gehe davon aus, daß ich alles, was ich hier schreibe, im Rahmen des legal Möglichen halte.
Sollte ich auch nur ansatzweise was falsch schreiben: KORRIGIERT MICH!
Auch gebe ich mit dem Tutorial hier keinerlei Gewähr auf Rechtsgültigkeit ab; dazu müßte ich Jura studieren
(ihr wißt schon, die übliche Klausel, damit Frank keinen Ärger mit den Aktentaschen bekommt...)

Genug Rechtsklauberei...


Erst mal gilt es herauszufinden, was genau passiert ist.
War es wirklich ein Hack-Versuch, oder ist nur was an der Konfiguration des Rechners/Netzwerks falsch?

Hierzu sollten Logfiles von verschiedenen Systemdiensten und Programmen Auskunft geben.

Übliche Auffälligkeit ist das Scannen vorhandener Ports oder Verzeichnisse.

Zum Beispiel, auf einem Webserver die 404er-Logs.
Aktuell grasen div. Bots die Webserver auf Verzeichnisse wie www.domain.de/phpmyadmin, oder auch einfach nur auf www.domain.de/admin ab.

Wenn der Response 404 ist, wird weitergescannt, solange, bis entweder eine bestimmte Exploit-Liste abgearbeitet ist, oder bis eine Input-Form gefunden wurde.

Tools hierzu gibt es zuhauf, mit ein wenig Geschick bei Google oder auf einschlägig bekannten Seiten findet man das Gesuchte.


Wenn man solche Fehlermeldungen öfter in seinen Logfiles findet, sollte man das Aufsetzen eines "Honeypots" in Betracht ziehen.

Honeypots (zu deutsch: Honigtöpfe) sind speziell präparierte Systeme, die nach außen vorgeben, gewisse Sicherheitslücken zu haben.
In Wirklichkeit ist aber nach einem erfolgreichen Hack-Versuch nichts zu holen.


Aber auch hier scheiden sich die Geister:
Die einen sagen, was für eine Zeit- und Ressourcen-Verschwendung, die anderen hingegen analysieren mit so einem Honeypot die Angriffs-Versuche, und können damit bei ausreichender Fachkenntnis bereits bestehende Systeme absichern.

Den Sinn so eines Honigtopfes muß jeder für sich selbst erschließen.


Die potentiellen Angriffsmöglichkeiten werde ich hier nicht genauer auflisten, da ich angehenden Crackern ja nicht das Leben leicht machen möchte.
(Die Definition von Hacker vs. Cracker erspare ich hier...)


Was aber nun, wenn feststeht, ja, es war ein Angriffsversuch?

Okay, kein Angriffsversuch ohne IP.
Die meisten Attacken werden nicht über einen Proxy gefahren; das machen nur die Pro's.
(und wenn ein Pro nervt, dann nur weil ihm langweilig ist)

Somit ist es ein leichtes, herauszufinden, von wo der Angriff kam.
Aktuell finden die meisten aus Übersee statt.
Dumm, daß dort die meisten Leute eine feste IP haben. Email an den Provider dort, und schon ist in den meisten Fällen Ruhe.
Wo man die Email-Adresse des Providers her bekommt?

Es gibt mehrere Listen, auf der die IP-Ranges weltweit gelistet sind; leider sind diese Listen meist nicht tages-aktuell...
Dennoch sollten sie ausreichen, um angehende Skript-Kiddies loszuwerden.

Alternativ hierzu kann man die IP-Range, aus der der Angriff kam, einfach mal eine Woche aussperren.
(sofern man nicht Kunden/Mitarbeiter aus dieser IP-Range hat; z.B. ist dies hier für die IP-Range Deutschland nicht realisierbar!)


Hm, der Hacker/Cracker nervt immer noch...

Jetzt ist es an der Zeit, zurückzuschlagen.
Rechtlich begibt man sich hier auf eine bisher noch nicht genau definierte Zone.
Was aber in jedem Falle legal ist, und schon einige abschreckt:

ping IP.des.Angreifers -t

In vielen Fällen ist mit einer einfachen Ping-Flut der Angreifer erst mal baff.
Alternativ hierzu kann man auch einen Full-Range Portscann ausführen, diesen wenn moglich auch eine gewisse Weile fortführen.

Ein Portscann bietet die zusätzliche Möglichkeit, je nach Konfiguration des Angreifers, interessante Informationen über den Angreifer zu sammeln.

So, nachdem der Gegenüber spätestens jetzt wissen sollte, daß wir auf ihn aufmerksam geworden sind, sind von den potentiellen 100% der Angreifer jetzt schon ca. 95% abgeschreckt.

Die restlichen 5% sind entweder sehr ignorant, oder einfach nur unglaublich unerfahren.

Letzere kann man mit eigenen Mitteln torpedieren.
Erstere sind harte Brocken, denen man nur mit viel KnowHow beikommt.


Detaillierte Problem-Lösungen kann ich leider nicht öffenlich posten, sonst würden sie sicherlich nicht nur von Betroffenen verwendet werden.

So long, die Basis für ein (hoffentlich) wachsendes Tutorial ist hiermit gelegt.


Bitte denkt bei Euren Ergänzungen daran, daß sie rechtlich einwandfrei sind.
Bedenkliches werde ich hier zum Schutze von Frank nicht zulassen.


Lonesome Walker