Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

get rid of ScriptKiddies und sonstigen Angreifern

Anleitung Sicherheit Erkennung und -Abwehr

Mitglied: 16568

16568 (Level 4)

28.06.2006, aktualisiert 03.05.2009, 18501 Aufrufe, 15 Kommentare

Wem's noch nicht passiert ist, kann's noch passieren.
Dann ist es gut, zu wissen, was alles schief gehen kann, und wie man sich dagegen wehrt...

Dieses Tutorial entsteht auf vielfachen Wunsch.
Sicher ist das Tutorial nicht komplett, daher würde ich mich sehr freuen, wenn sich die Leute per PN melden, damit das Tutorial nach und nach wachsen, oder sich der aktuellen Rechtslage anpassen kann.

Um das oben Geschriebene gleich zu korrigieren:
Ich gehe davon aus, daß ich alles, was ich hier schreibe, im Rahmen des legal Möglichen halte.
Sollte ich auch nur ansatzweise was falsch schreiben: KORRIGIERT MICH!
Auch gebe ich mit dem Tutorial hier keinerlei Gewähr auf Rechtsgültigkeit ab; dazu müßte ich Jura studieren
(ihr wißt schon, die übliche Klausel, damit Frank keinen Ärger mit den Aktentaschen bekommt...)

Genug Rechtsklauberei...


Erst mal gilt es herauszufinden, was genau passiert ist.
War es wirklich ein Hack-Versuch, oder ist nur was an der Konfiguration des Rechners/Netzwerks falsch?

Hierzu sollten Logfiles von verschiedenen Systemdiensten und Programmen Auskunft geben.

Übliche Auffälligkeit ist das Scannen vorhandener Ports oder Verzeichnisse.

Zum Beispiel, auf einem Webserver die 404er-Logs.
Aktuell grasen div. Bots die Webserver auf Verzeichnisse wie www.domain.de/phpmyadmin, oder auch einfach nur auf www.domain.de/admin ab.

Wenn der Response 404 ist, wird weitergescannt, solange, bis entweder eine bestimmte Exploit-Liste abgearbeitet ist, oder bis eine Input-Form gefunden wurde.

Tools hierzu gibt es zuhauf, mit ein wenig Geschick bei Google oder auf einschlägig bekannten Seiten findet man das Gesuchte.


Wenn man solche Fehlermeldungen öfter in seinen Logfiles findet, sollte man das Aufsetzen eines "Honeypots" in Betracht ziehen.

Honeypots (zu deutsch: Honigtöpfe) sind speziell präparierte Systeme, die nach außen vorgeben, gewisse Sicherheitslücken zu haben.
In Wirklichkeit ist aber nach einem erfolgreichen Hack-Versuch nichts zu holen.


Aber auch hier scheiden sich die Geister:
Die einen sagen, was für eine Zeit- und Ressourcen-Verschwendung, die anderen hingegen analysieren mit so einem Honeypot die Angriffs-Versuche, und können damit bei ausreichender Fachkenntnis bereits bestehende Systeme absichern.

Den Sinn so eines Honigtopfes muß jeder für sich selbst erschließen.


Die potentiellen Angriffsmöglichkeiten werde ich hier nicht genauer auflisten, da ich angehenden Crackern ja nicht das Leben leicht machen möchte.
(Die Definition von Hacker vs. Cracker erspare ich hier...)



Was aber nun, wenn feststeht, ja, es war ein Angriffsversuch?

Okay, kein Angriffsversuch ohne IP.
Die meisten Attacken werden nicht über einen Proxy gefahren; das machen nur die Pro's.
(und wenn ein Pro nervt, dann nur weil ihm langweilig ist)

Somit ist es ein leichtes, herauszufinden, von wo der Angriff kam.
Aktuell finden die meisten aus Übersee statt.
Dumm, daß dort die meisten Leute eine feste IP haben. Email an den Provider dort, und schon ist in den meisten Fällen Ruhe.
Wo man die Email-Adresse des Providers her bekommt?

Es gibt mehrere Listen, auf der die IP-Ranges weltweit gelistet sind; leider sind diese Listen meist nicht tages-aktuell...
Dennoch sollten sie ausreichen, um angehende Skript-Kiddies loszuwerden.

Alternativ hierzu kann man die IP-Range, aus der der Angriff kam, einfach mal eine Woche aussperren.
(sofern man nicht Kunden/Mitarbeiter aus dieser IP-Range hat; z.B. ist dies hier für die IP-Range Deutschland nicht realisierbar!)


Hm, der Hacker/Cracker nervt immer noch...

Jetzt ist es an der Zeit, zurückzuschlagen.
Rechtlich begibt man sich hier auf eine bisher noch nicht genau definierte Zone.
Was aber in jedem Falle legal ist, und schon einige abschreckt:

ping IP.des.Angreifers -t

In vielen Fällen ist mit einer einfachen Ping-Flut der Angreifer erst mal baff.
Alternativ hierzu kann man auch einen Full-Range Portscann ausführen, diesen wenn moglich auch eine gewisse Weile fortführen.

Ein Portscann bietet die zusätzliche Möglichkeit, je nach Konfiguration des Angreifers, interessante Informationen über den Angreifer zu sammeln.

So, nachdem der Gegenüber spätestens jetzt wissen sollte, daß wir auf ihn aufmerksam geworden sind, sind von den potentiellen 100% der Angreifer jetzt schon ca. 95% abgeschreckt.

Die restlichen 5% sind entweder sehr ignorant, oder einfach nur unglaublich unerfahren.

Letzere kann man mit eigenen Mitteln torpedieren.
Erstere sind harte Brocken, denen man nur mit viel KnowHow beikommt.


Detaillierte Problem-Lösungen kann ich leider nicht öffenlich posten, sonst würden sie sicherlich nicht nur von Betroffenen verwendet werden.

So long, die Basis für ein (hoffentlich) wachsendes Tutorial ist hiermit gelegt.


Bitte denkt bei Euren Ergänzungen daran, daß sie rechtlich einwandfrei sind.
Bedenkliches werde ich hier zum Schutze von Frank nicht zulassen.



Lonesome Walker
Mitglied: gnarff
21.08.2006 um 01:59 Uhr
hallo LSW!
ich moechte mir die freiheit herausnehmen, sie in wenig zu korrigieren:

1. die meisten angriffe kommen nicht aus uebersee, sondern aus den ehemaligen ostblockstaaten.

2. die meisten gehen ueber einen proxy

3. das pingen erschreckt niemanden.
das ist ein einkalkuliertes risiko. der angreifer geht ueber andere rechner, wie sie wissen, und noch bevor ihr ping seinen rechner erreicht, schaltet der einfach ab...

4. auch in uebersee haben die meisten leute keine feste rechneradresse

5. ein "full-range portscann" nuetzt ihnen nur etwas, wenn sie den angreifer auch wirklich lokalisieren konnten

saludos
gnarff
Bitte warten ..
Mitglied: 16568
21.08.2006 um 02:32 Uhr
Zu 1:
Ich weiß ja nicht, wo Du gerade wieder steckst, aber ich rede in dem Tutorial von Deutschland/Germany/Alemagne/...
Und hier kommen die meisten Angriffe (zumindest in den Logfiles meiner Kunden, die ich betreue...) aus Übersee/U.S.A.

Zu 2:
Hm, sicher sind das einige, aber die meisten sind eben von Script-Kiddies.
Die haben das Wort zwar schon mal gehört...

Zu 3:
Hm, ich kenne da andere Erfahrungsberichte, aber okay.
Aber agree, daß gute Angreifer nach diesem Motto vorgehen.
Die heutigen Angreifer sind aber meist Script-Kiddies, und die haben von Zombie-Netzwerken was munkeln gehört.

Zu 4:
Ach, dazu sage ich jetzt einfach mal nix, vielleicht definieren wir Übersee nur anders.
(oder kennen Übersee auch nur anders...)

Zu 5:
Agree.


Lonesome Walker
PS: Ich habe von Konzept Gruppe S.A. noch immer nix gehört oder gelesen...
Bitte warten ..
Mitglied: Biber
21.08.2006 um 05:08 Uhr
Ist mir doch mal wieder ein paar Sterne wert, LSW

Zu eurem Haarspaltepunkt 1 "wo wohnen denn die meisten Skriptkiddies?"
Ich denke, das ist eine müßige Diskussion.
Kommt ja auch darauf, welche Webadresse/IP die nun grad gesucht/gefunden haben und wo.
Rein statistisch (auch das könnte ich mit eigenen Erfahrungen untermauern) werden die meisten Nervbolzen wohl in China wohnen.
Wie gesagt, rein statistisch.. gibt ja nachweislich mehr ChinesInnen als BulgarInnen oder TschechInnen.

Und die tauchen auch häufig in meinen Protokollen und Honeypots auf.

Bei Spammails ist es (bei mir) ein gänzlich anderes Verteilungsverhältnis:
Uneinholbarer Spitzenreiter bei Viagra, Cialis, Enlargement- und ähnlichen Produkten sind die prüden Amis
gefolgt von den Polen, weit abgeschlagen auf den Plätzen 3 und 4 Frankreich und Canada.
Bei Superschnäppchenangeboten und Geheimtipps an der Börse ist China nur Zweiter hinter dem United Kingdom.

Lässt sich aber ebensowenig verallgemeinern wie die ungebetenen Gäste bei Euren Kunden.
Könnte ebenso passieren, dass einer Eurer Kunden zufällig ausschließlich von einer Clique aus dem Bayrischen Wald belästigt wird oder von einem vereinsamten Skriptkid auf Langeoog.

Grüße
Biber
Bitte warten ..
Mitglied: gemini
21.08.2006 um 08:19 Uhr
vielleicht definieren wir Übersee nur
anders.
(oder kennen Übersee auch nur
anders...)
Durchaus möglich http://www.uebersee.com/
Bitte warten ..
Mitglied: Biber
21.08.2006 um 09:12 Uhr

@gemini

Um auch Deinen berechtigten Einwand abzusichern (gnarff und LSW lesen ja manchmal Kommentare SEHR genau und ihre gegenseitigen vermutlich mit der Uhrmacherlupe):

Ortsnamen innerhalb Deutschlands:

Warum in die Ferne reisen wenn die Ferne liegt so nah:

09322 Amerika
83236 Übersee
Kalifornien (post. zu Schönberg)
Texas (post. zu Burgwedel)
Neu England (post. zu Westerstede)
Kanada (post. Münchenbernsdorf)
Brasilien (post. zu Schönberg)
Grönland (post. zu Sommerland)
England (post. zu Buch)
Holland (post. zu Büsum)
Schweiz (post. zu Messenkamp)
Norwegen (post. zu Lastrup)
Schweden (post. zu Mohrkirch)
Korsika (post. zu Wald-Michelbach)
Rußland (post. Holzdorf)
Sibirien (post. zu Butjadingen)
Afrika (post. zu Lage)
Ägypten (post. Neuenkirchen)
Kamerun (post. Soltau)
Türkei (post. zu Wittmund)

Quelle für so etwas kann nur Martin Gansels geniale Seite sein: Die skurrilsten Ortsnamen


Weiterhin fröhliche Arbeitswoche und Winkzzz in den Süden
Biber
Bitte warten ..
Mitglied: 16568
21.08.2006 um 10:27 Uhr
> vielleicht definieren wir Übersee
nur
> anders.
> (oder kennen Übersee auch nur
> anders...)
Durchaus möglich
http://www.uebersee.com/

Aufhören, ich kann nicht mehr

Lonesome Walker
Bitte warten ..
Mitglied: 16568
21.08.2006 um 10:29 Uhr
@Biber:

Mich würde interessieren, wie Du den Thread hier gefunden hast.
Den hab' ich still und heimlich verfaßt...

Abbonierst Du grundsätzlich die witzigsten Themen des Tages?


Lonesome Walker
PS: Bei meinen Kunden is China auf Platz 2, aber hey...
Bitte warten ..
Mitglied: Biber
21.08.2006 um 13:26 Uhr
@LSW
Mich würde interessieren, wie Du den Thread hier gefunden hast.
Den hab' ich still und heimlich verfaßt...

Du weißt doch, meine kleinen Bätche...
Wenn Kommentare von Dir und gnarff in einem Thread auftauchen, dann wird mir sofort eine SMS geschickt..

Liebe Grüße (an Euch beide natürlich!)
Biber
Bitte warten ..
Mitglied: gnarff
26.08.2006 um 00:26 Uhr
@LSW

Zu 1:
>aber ich rede in dem Tutorial von
Deutschland/Germany/Alemagne/...
Und hier kommen die meisten Angriffe
(zumindest in den Logfiles meiner Kunden, die
ich betreue...) aus Übersee/U.S.A.

-nur weil die logfiles ihnen sagen, dass die angriffe aus USA kommen, heisst das noch lange nicht, dass sie -die angriffe- auch wirklich von dort kommen. der angriffs-server ist nicht immer gleich der angreifer...

Zu 2:
Hm, sicher sind das einige, aber die meisten
sind eben von Script-Kiddies.
Die haben das Wort zwar schon mal
gehört...

-script-kiddies sind nicht so bloed, wie das die propaganda uns glauben machen will...


Zu 4:

vielleicht definieren wir Übersee nur
anders.
(oder kennen Übersee auch nur
anders...)
-uebersee, ueber den bzw. die see. im allgemeinen versteht man darunter ja die USA. das gross-amerikanische reich ist jedoch noch nicht geboren -gott sei dank- deshalb gehoert zu uebersee wohl doch gemeinhin auch der gesamte amerikanische kontinent.
ich persoenlich neige allerdings zu der ansicht, dort wo ich ueber die see fahre, also von deutschen oder sonstigen gestaden aufbreche um an anderen wieder anzulanden; dann befinde ich mich also auch in uebersee...naja!


PS: Ich habe von Konzept Gruppe S.A. noch
immer nix gehört oder gelesen...

-das wird schon noch...

@Biber
zitat:[...]gnarff und LSW lesen ja manchmal Kommentare SEHR genau und ihre gegenseitigen vermutlich mit der Uhrmacherlupe):

-ich benutze ein elektronenmikroskop...danke fuer die gruesse!

saludos
gnarff
[wie immer in costa rica]
Bitte warten ..
Mitglied: Raphael
04.10.2006 um 10:56 Uhr
Das Tutorial finde ich gut. Allerdings finde ich dass noch ein link fehlt .. und zwar zu einer whois-page...
Meiner Meinung nach ist folgnede ganz gut:
http://www.dnsstuff.com/

hat neben Whois auch funktionen wie DNSlookup, ping, traceroute, usw.
Man kann ebenfalls seine eigene (oder fremde) IPs überprüfen ob sie auf einer Spam-Blacklist eingetragen wurden, etc...

Gruss Raphael
Bitte warten ..
Mitglied: BlackVale
05.03.2007 um 22:52 Uhr
sorry. Aber da ist www.whois.to doch um einiges komfortabler. Und wenn es um eine .de Domain geht, dann ganz einfach über die deNIC (mal für unsere Greenhorns) unter www.denic.de.

Gruß BlackVale
Bitte warten ..
Mitglied: 16568
06.03.2007 um 09:23 Uhr
Freut mich, daß sich hier wieder mal jemand beteiligt, und die Sachen ergänzt.


Lonesome Walker
Bitte warten ..
Mitglied: Jere
14.05.2008 um 16:18 Uhr
Schönes, allgemein gehaltenes TUT.
Mehr von dir in der Qualität!

Danke und Gruß
J
Bitte warten ..
Mitglied: Hannes-Schurig
06.01.2009 um 12:06 Uhr
Schönes Tutorial für den generellen Überblick ohne mit Details zu verwirren.

Aber Pings zum ausbremsen? Ist das nicht nen Tick zu altmodisch?
Maximal würde ich ein Programm schreiben, was hunderte von gleichzeitigen Verbindungen aufbaut und in jeder mit dem ping -t ackert aber selbst das sollte bei einer 2Mbit oder mehr nicht mehr ziehen, right?
Bitte warten ..
Mitglied: mhumer
02.04.2009 um 18:26 Uhr
Ich suche immer noch das TUT in diesem Bildzeitungsschem.

Das einzig lehrreiche daran ist der 2-Satz-Abschnitt mit den Honeypots, den der eine oder andere vielleicht nocht nicht gehört hat.
Aber Tutorial finde ich doch etwas sehr überzogen als Themenbeschrieb. Editorial vielleicht.

Der Autor hat selbst geschrieben, die User (wir) sollen selbst weitere Infos hinzufügen.
Leider gab es im Anschluss an das posting lediglich eine Grundsatzdiskussion, wo mehr Weizenkörner wachsen (aka des Kaisers Bart).

Generell läßt sich ein Tutorial über Serverschutz schon schreiben, auch wenn mir persönlich die exakte Fachkenntnis fehlt.
Die implizierte Aussage "man möchte die Cracker nicht warnen & vorbereiten" halte ich für Blödsinn.

Wenn der Hinweis auf Videoüberwachung Einbrecher abschreckt, dann ist das doch gut.
Schliesslich geht es um den Datenschutz und nicht um Fangquoten. Und Security by obscurity ist Blödfug hoch 10, das wisst ihr sicher auch alle.

Alles in allem war das Thema nicht mehr als profanes Suchmaschinenfutter ohne inhaltlichen Nährwert - man kann es schmerzlos löschen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Entwicklung
gelöst Get ip from external txt file and use in vbscript (5)

Frage von thankusomuch zum Thema Entwicklung ...

Linux Userverwaltung
Enter-Taste verschafft Angreifern Root-Rechte auf verschlüsselten Systemen (1)

Link von magicteddy zum Thema Linux Userverwaltung ...

Batch & Shell
gelöst Get-WmiObject, nach Netzwerkadapter filtern (11)

Frage von Flodsche zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...