IP-Blacklist für Hoster

synapsis · Verfasst am: 21.10.2007, 14:12 Titel: IP-Blacklist für Hoster

Es ist ziemlicher Wahnsinn, wieviele verschiedene Server versuchen auf dem syncom.org-Server eine phpMyAdmin-Installation zu finden und diese erfolgreich durch Brute-Force zu knacken. (vor kurzem kam ein Angriffsversuch von einem Server des amerikanischen Bundesstaates Minnesota Kopfschütteln

)

Auf dutzenden Internetservern finden ständig tausende von solchen Anfragen statt. ssh, ftp, mysql und ähnliche dienste werden geflooded bzw. wird versucht durch BruteForce oder durch Ausnutzen einer Sicherheitslücke Zugriff zu erlangen.

Ich war im Internet auf der Suche nach einer Backlist für solche Server, bin aber leider nicht fündig geworden. (sollte ich was übersehen haben, bitte schreiben)

Meine Idee deshalb: Auf einer Subdomain von syncom.org eine kleine Plattforum für IP-Blacklists aller Art. (SPAM-Mailserver, Flooder, ....) Die Benutzer können IP-Adressen hinzufügen, die Adressen werden allerdings erst zur entgültigen Liste hinzugefügt, wenn mehrere Benutzer den Eintrag als korrekt erklärt haben. Die endgültige Liste kann in verschiedenen Formaten heruntergeladen werden. Die Betreiber von gesperrten IPs können die Sperrung aufheben, sobald von mindestens einem anderen Mitglied bestätigt wurde, dass der mit der IP-Adresse verbundene Server keine Gefahr mehr darstellt.

Was meint ihr?

PhP0Kid · Verfasst am: 21.10.2007, 14:31 Titel:

Denkst du da an ein einfaches System auf MySQL basierend mit nem Webinterface, wo jeder User von Syncom.org zugreifen kann?

Hört sich nicht schlecht an, dauert aber sicher ne zeitlang, bis da was zusammenkommt..

synapsis · Verfasst am: 21.10.2007, 17:27 Titel:

Ich würds vielleicht unabhängig vom Forum gestalten und auf Englisch, weil man sonst wieder nur einen sehr kleinen Teil anspricht, aber generell ja. Wink

Ich glaub, dass man da schon ein gutes Anfangskapital zusammenpacken könnte. Es gibt nämlich schon ein paar nützliche Blacklists im Internet. (z.b. gibts ne Liste mit email-adressen, die bei Foren von Bots verwendet werden) Und allein durch den syncom-Server kann ich mittlerweile schon fast 20 adressen liefern.

Aber natürlich dauert es, bis die Seite wieder bekannt ist und da wirklich was los ist. Ein Problem sehe ich aber noch darin, dass dann die Leute vielleicht nur nehmen wollen ohne zu geben. (Wie bei P2P-Sharing-Netzwerken) Da muss man sich vielleicht noch was ausdenken, warum man sich da anmelden und seine Blacklist-Adressen eintragen sollte.

thewuz · Verfasst am: 21.10.2007, 20:13 Titel:

Also vom Prinzip her eine Super idee.
Nur die Problematik ist ganz einfach die Implementierung einer solchen liste. Wenn, und das ist ja der sinn dahinter, da eine ganze menge zusammenkommt (10.000.000 IPs), dann dauert es mal eine ganz lange zeit, bis das script die datenbank nach einer ip durchsucht hat...
Ich würde zuerst überlegen wie man das schneller gestalten könnte, und dann erst mit dem Grundstock zum programmieren beginnen

synapsis · Verfasst am: 22.10.2007, 12:53 Titel:

Naja, im Prinzip kann man da nicht sehr viel tunen. Aber verlass dich mal auf die Performance von MySQL. :mgreen:

Und schließlich wird die Suchfunktion wahrscheinlich nicht so oft verwendet werden. (Man will ja eher die Liste downloaden als nach einer bestimmten IP suchen, außer man ist der Betroffene dessen IP geblacklisted wurde)

Und natürlich braucht man erstmal ein gutes Designskript. Mich interessiert erstmal, wer denn an einer Teilnahme Interesse hätte. Smile

Shadow · Verfasst am: 22.10.2007, 21:00 Titel:

Hört sich interessant an und ist ein ideales Einsatzgebiet für das MVC-Muster.
Man kann ja auch i18n in das Ganze einbinden.

thorn · Verfasst am: 23.10.2007, 19:16 Titel:

Ich habe mich selber noch nicht mit dem Thema befasst... Wenn ihr mir kurz erklären könnten, wie man denn diese Liste auf den einzelnen Servern einsetzt, wäre ich euch Dankbar Smile

Betreffend Speicherung bzw. Abfrage... denke das sollte bei den heutigen MySQL-Datenbanken kein grosses Problem darstellen...
Mein Vorschlag, die Werte aufteilen und in einzelne Spalten schreiben, oder das ganze als zusammensetzen und als Zahl speichern...

Klingt aber nach einer guten Idee, aber ich frage mich dennoch, gibt es da nicht schon genügend viele Black-Lists?

synapsis · Verfasst am: 23.10.2007, 21:23 Titel:

Ich habe ein paar Listen von Email-SPAM Servern gefunden, aber keine allgemeinen Listen, um unerwünschten Traffic von floodern, portscannern oder irgendwelchen brute-force-Attacken zu vermeiden. Vielleicht bin ich aber einfach nur zu blöd diese Seiten zu finden. Rolling Eyes

Die IPs sollte man vor allem als iptable-Befehle bzw. ipsets downloaden können. Somit kann man die Blacklist ganz einfach in jede Linux-Firewall einbauen und alle künftigen Anfragen von diesen Hosts werden ignoriert.

Ähnlich dazu sollten die Daten für verschiedene Mailserver verfügbar sein. (Bei SPAM-Servern)

Faktotum · Verfasst am: 25.12.2007, 23:44 Titel:

Ich finde auch dass solche community-Blacklists heute sehr wichtig sind, da man nicht nur auf selbst aufgebaute Listen stzen kann. Zwar lässt sich ein potenzieller Angreifer anhand verschiedener Verhaltensmuster relativ gut erkennen, aber wenn jeder sein Wissen über solche schwarzen Schafe anderen zur Verfügung stellt, dann lässt sich die Abwehr viel effektiver und vor allem schneller gestalten.

Ein paar Überlegungen von mir:

- Das System sollte über eine Software-Schnittstelle verfügen, mit der sich gezielte Abfragen machen lassen, denn der Download der gesamten Liste ist Schwachsinn. Sie müsste ja mehrfach am Tag heruntergeladen werden, damit man immer auf dem neuesten Stand ist. Das heißt, man sollte einen Service aufbauen, der Auf Anfrage mitteilt, ob eine IP gefährlch sein könnte oder nicht. Ein CLient (z.B. EIn einfacher Webserver) könnte dann bei jeder Anfrage, die er bekommt nachfragen, ob der Client vertrauenswürdig ist, oder ob er eine Verbindung abweisen soll. Um Traffic zu sparen kann er die Daten ja für eineige Zeit in einem Cache speichern..

- Es soll einfach zu bedienen sein. eine IP sollte mit wenig aufwand gelistet werden können (nicht erst gaaanz tief in irgend einer seite versteckt ein winziges Formular..). Außerdem sollte auch hier eine Softwareschnittstelle her, über die der EIntrag auch von Maschinen direkt gemacht werden kann.

- Es soll manipulationssicher sein... Hier sehe ich das größte Problem. Ab wann gilt eine IP als schwarzes Schaf? wir wollen ja nicht, dass irgend ein idiot durch gezielte Eingriffe (und auch durch den Einsatz mehrerer Server) einen unbescholtenen Server listet!!

- Es soll nichts kosten! Das ist heute ein gewichtiges Argument! Aber in Anbetracht des hohen Traffics den so ein System aufweisen würde (muss! denn nur wenn viele mitmachen kann die Qualtiät der Daten gesichert werden) wohl eine harte Nuss...

- Es darf nicht gegen geltendes Recht verstoßen! Ich kenn mich da jetzt nicht so genau aus... aber ich kann mir vorstellen, dass ein Serverbesitzer, dessen System auf unserer Liste steht (Google??) rechtliche Schritte gegen das Blacklisting einleiten könnte...

Eine knifflige Aufgabe also! So einfach sich das Thema auch anhört....

thewuz · Verfasst am: 26.12.2007, 00:56 Titel:

Faktotum · Verfasst am: 26.12.2007, 01:10 Titel:

@thewuz

stimmt... das könnte happig werden... aber wenn sich so ein Webserver 10 mal am Tag die komplette Liste holt....

Faktotum · Verfasst am: 26.12.2007, 03:20 Titel:

Schaut euch das mal an: http://www.spamhaus.org

thewuz · Verfasst am: 26.12.2007, 11:09 Titel:

hmmm das kommt deiner idee schon ziemlich nahe, hab aber jetzt nur kurz einen blick drauf geworfen

amazing · Verfasst am: 17.02.2008, 22:27 Titel:

moin bin der neue... Wink

wir lösen das als "DROP, FORGET und BASTA" Wink

http://faq.open-box.org/index.php/Blacklist

per grep und sed suchen wir uns regelmäßig die lullis aus den logs und bereiten die für die blacklist vor.

diese blacklist tauschen wir regelmäßig (1x täglich) via wget aus.

da die meisten teilnehmenden projekte rootserver der neuen generation haben, in denen ein traffikvolumen von >1TB enthalten ist, macht das in aller regel wenig aus.

die static-blacklist enthält nur attacks via mysql, ssh, ftp und http.

an einer emailblacklist arbeiten wir, bzw. nehmen der bequemlichkeithalber die von heise.de / ix und die werden dann nur nach smtp gedropt.
letztlich ist email n bissl anspruchsvoller als der ganze auth-kram.

beim auth ist es eine direkte aktion, sei es via bot oder händisch, deswegen ein fulldrop. denn wer solche aktionen durchführt, den brauchen nicht mal die bei uns gehosteten webshops als kunden Wink

bei mail wie erwähnt schwieriger, da das freigeben nach möglichst 3 tagen einzelner, nicht nochmals auffälliger ips einen etwas größeren aufwand darstellen, das das quick'n'dirty ipfilter-füttern mit shell-scripten Wink

ok.. thats it guys..

andreas

synapsis · Verfasst am: 17.02.2008, 23:05 Titel:

Erstmal herzlich Willkommen hier Andreas Smile

Das ist ein sehr interessanter Service, den ihr da anbietet. Smile

Werde das die nächsten Tage mal in unsere Firewall-scripts einbauen. Bisher hab ich die IPs immer manuell rausgesucht, ist aber auch ein ganz schöner Haufen dabei rausgekommen :-/

Habt ihr die scan-Skripte für die log-Dateien irgendwo offen gelegt? Es wäre noch super, wenn man als Server-Betreiber selbst noch Erkennungsstrukturen für Attacken hinzufügen könnte (Besonders bei http sehen die ja oft recht unterschiedlich aus).

Emails sind hier (bisher) nicht so das Problem, aber das kann sich ja noch ändern...

Grüße