| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
amazing
Neuer Benutzer
Anmeldedatum: 17.02.2008
Beiträge: 9
Wohnort: Essen
|
 Verfasst am: 17.02.2008, 23:24 Titel: |
 |
|
moin synapsis,
nee, offengelegt haben wir die nicht.. da dies zuviel über die interne struktur unserer root- und vserver preisgeben würde..
aber ich kann mal eines reintippern, was man sich ggf. an sein system anpassen kann...
wie gesagt, quick'n'dirty.. in perl sähe es nicht nur besser aus, sondern würde auch keine großartige last erzeugen...
wenn ich demnächst mal zeit habe, werd ich da auch mal was bereitstellen, weil es doch ne menge einträge geworden sind 
bis gleich...
andreas |
|
| Nach oben |
|
 |
amazing
Neuer Benutzer
Anmeldedatum: 17.02.2008
Beiträge: 9
Wohnort: Essen
|
| Verfasst am: 18.02.2008, 00:21 Titel: |
|
|
Shell-Script, bspw. /root/bin/spamblocker/grabb-ips.sh
| Code: |
#!/bin/sh
# Shell-Script zum Grabben auffaelliger IPs in vservern
# Basiert auf einem Root-Server mit vServer-Kernel-Patch, dessen vps im
# Verzeichnis /vservers liegen
# Ferner ist dies ein Aufbaubeispiel, welches es gilt noch beliebig anzupassen.
# Variablenblock
VPSDIR="/vservers"
# Folgende Eintraege koennen beliebig weit ausgebaut werden
BOESE=" 404 |phpmyadmin|pma"
# ^ ^ Leerzeichen drinnlassen, weil wir den Fehler "404" und nicht irg.was mit 23404 suchen!
GUT="Googlebot|robots|favicon"
TMPSORT="/tmp/blacklist-sorted.tmp"
TMPUNSORT="/tmp/blacklist-unsorted.tmp"
find $VPSDIR -type f -name "access????" -exec grep -E "($BOESE)" {} \; | grep -v -E "($GUT)" | cut -d" " -f1 >> $TMPUNSORT
# Sortieren muss leider in einem 2. Ansatz sein, sonst bleibt die erste Liste leer
cat $TMPUNSORT | sort -u >> $TMPSORT
# -- script-ende --
|
Danach habt Ihr 'ne Liste, die ausschließlich IP-Adressen von Lullis beinhalten.
Es sei denn, Ihr habt das DNS-Lookup im Webserver an, so das statt der IP ein Domainname da steht..
Dazu hab ich grad keine Lösung aus dem FF parat 
ok, nächster Schritt
Shell-Script zum dumpfen Droppen bspw. /root/bin/spamblocker/block-ips.sh
| Code: |
#!/bin/sh
# Shell-Script zum automatisierten Eintragen von IPTables Regeln
# Denkt bitte drann, bestehende Ketten zu sichern und mit einzubauen,
# da dieses Script zunaechst alle Regeln loescht und dann nur DROPs eintraegt.
IPT="/sbin/iptables"
SORTIP="/tmp/blacklist-sorted.tmp"
$IPT -F
for IP in `cat $SORTIP`; do
$IPT -A INPUT -s $IP -j DROP
done
# -- script-ende --
|
Das Eintragen der IP-Adressen in den ip-filter dauert etwas.. auf einem 3GHz-System haben 50k IPs ca. 18 Minuten gedauert.. also no panic
| Code: |
# cronjob
# morgens um 4:00 die IPs herausfiltern.. das kann etwas dauern
0 4 * * * /root/bin/spamblocker/grabb-ips.sh 1>&2 > /dev/null
# 1 Stunde spaeter dann die iptablesregeln eintragen
0 5 * * * /root/bin/spamblocker/block-ips.sh 1>&2 > /dev/null
|
Das Ganze lässt sich nun beliebig weit ausbauen, zB. das ein Counter eingebaut wird, der nachschaut, ob die IP mindestens 2 - 5 mal den Fehler verursacht hat. Dies stellt halbwegs sicher, das nicht Besucher, die ausversehen nen "404" ausgelöst haben, in der Blacklist landen.
Außerdem ein automatisiertes Regexx für "BOESE"
bspw.:
| Code: |
| cat boese.txt | cut -d" " -f7- | sort -u | sed -e 's/\//\n/g' | sort -u |
oder so ähnlich...
Ferner ähnlich wie bei IX eine TimeStamp, der klärt, wie alt die IP ist und das die nach n-Tagen wieder von der Liste kommt...
und so weiter
Ich wär mal gespannt, ob Ihr die Skripte weiter ausbaut, und wie ich das macht
solong
andreas
Zuletzt bearbeitet von amazing am 18.02.2008, 02:07, insgesamt 2-mal bearbeitet |
|
| Nach oben |
|
|
amazing
Neuer Benutzer
Anmeldedatum: 17.02.2008
Beiträge: 9
Wohnort: Essen
|
| Verfasst am: 18.02.2008, 00:38 Titel: |
|
|
Übrigends,
wenn Ihr den Port von SSH umbiegt, dann laufen die "auth-bots" schon ins leere..
Da dies meist nur Skripte sind, die den offenen SSH-Standardport nutzen, kann man einfach den Port auf 30022 oder 11122 umbiegen, allen lokalen Usern Bescheidgeben, das die das in Zukunft (bei PuTTY eintragen, bei ssh mit -p angeben) verwenden...
Ein vorheriges nmap auf Eure Kisten würde zu aufwendig sein, um es zu automatisieren, ferner müsste via zb. Telnet erst verifiziert werden, ob der umgebogene Port wirklich SSH ist.
Sicherlich gibt es solche Listen, aber die sind am Black-Markt Ar***teuer
Und die werden wiederum nicht von den "auth-bots" benutzt.
http://faq.open-box.org/index.php/SSH
greetz
andreas |
|
| Nach oben |
|
|
amazing
Neuer Benutzer
Anmeldedatum: 17.02.2008
Beiträge: 9
Wohnort: Essen
|
| Verfasst am: 19.02.2008, 01:39 Titel: |
|
|
Damit die IPs zwischendurch mal auf Erreichbarkeit getestet werden, um nicht unnötig das System zu belasten hier ein Script, um das dann jeweils in eine Grey- oder Blacklist zu verschieben...
Bspw.: /bin/spamblocker/check-ips.sh
| Code: |
#!/bin/bash
IP=""
ECHO=""
CHECK=""
CNT=0
for IP in `cat /root/bin/spamblocker/ips.lst` ; do
CNT=$((CNT+1))
iptables -D INPUT -s $IP -j DROP
ECHO=`ping -c1 $IP`
CHECK=`echo $ECHO | grep "100% packet loss"`
# ", 100% packet loss" | ", 0% packet loss"
echo -n "$CNT. teste Eintrag [ $IP ] ... "
if [ -z "$CHECK" ] ; then
echo "Host erreichbar, schreibe IP in Blacklist, trage Chain ein..."
echo $IP >> /root/bin/spamblocker/black-ips.lst
iptables -A INPUT -s $IP -j DROP
else
echo "Host nicht erreichbar, schreibe IP in Greylist, loesche Chain..."
echo $IP >> /root/bin/spamblocker/grey-ips.lst
fi
done
mv /root/bin/spamblocker/black-ips.lst /root/bin/spamblocker/ips.lst
|
viel Spaß |
|
| Nach oben |
|
|
amazing
Neuer Benutzer
Anmeldedatum: 17.02.2008
Beiträge: 9
Wohnort: Essen
|
| Verfasst am: 19.02.2008, 10:38 Titel: |
|
|
Dann hätt' ich hier noch 'n Script zum Ranken von IP-Adressen...
Basiert auf der unsortierten Liste aus dem Grabber-Script.
Bspw.: /root/bin/spamblocker/rank-ips.sh
| Code: |
#!/bin/bash
# /root/bin/spamblocker/rank-ips.sh
# Schreibe IP in BL, wenn mindestens 2x aufeinanderfolgend ein 404 produziert wurde
# Um zu Beobachten, was das Script tut, koennt ihr die '#' vor den echo-CMDs entfernen
IP1=""
IP2=""
IP3=""
IPCNT="0"
LOGDIR="/var/log/spamblocker"
LOGFILE="bl-ranking-ip"
UNSORTED="blacklist-unsorted.tmp"
mv $LOGDIR/$LOGFILE.tmp $LOGDIR/$LOGFILE.tmp2
cat $LOGDIR/$UNSORTED | while read IP1; do
if [ "$IP1" = "$IP2" ] ; then
IPCNT=$((IPCNT+1))
# echo "$IP1 vs. $IP2 count $IPCNT, BLOCK $IP3"
IP3=$IP2
echo "$IP3" >> $LOGDIR/$LOGFILE.tmp
else
IPCNT="0"; IP3=""
# echo "$IP1 vs. $IP2 count $IPCNT"
fi
IP2=$IP1
# echo "$IP1 vs. $IP2 count $IPCNT, BLOCK $IP3"
# echo -n "."
# sleep 1
done
cat $LOGDIR/$LOGFILE.tmp | sort -u >> $LOGDIR/$LOGFILE.tmp3
mv $LOGDIR/$LOGFILE.tmp3 $LOGDIR/$LOGFILE.tmp
rm $LOGDIR/$LOGFILE.tmp2
cat $LOGDIR/$LOGFILE.tmp >> /root/bin/spamblocker/ips.lst
rm $LOGDIR/$LOGFILE.tmp
|
Bitte nicht lachen, ich bin nicht der beste "sort-Algorhythmus"-Entwickler
Viel Spaß
Andreas |
|
| Nach oben |
|
|
amazing
Neuer Benutzer
Anmeldedatum: 17.02.2008
Beiträge: 9
Wohnort: Essen
|
| Verfasst am: 19.02.2008, 10:42 Titel: |
|
|
PS.: noch irgendjemand da?
Dafür das alle das Problem haben kommt gerade wenig echo |
|
| Nach oben |
|
|
amazing
Neuer Benutzer
Anmeldedatum: 17.02.2008
Beiträge: 9
Wohnort: Essen
|
| Verfasst am: 19.02.2008, 14:17 Titel: |
|
|
Nochwas...
Habe vor 2 Wochen oder so 'nen Fernsehbericht über Plagiate (Produktkopien) gesehen und die Interviews der Chinesen bezüglich der "traditionellen Sportlichkeit" zu Wirtschaftsspionage geunruhigten mich mittelmäßig.
Ich habe mal die "positive" SNORT-Meldungen rausgefiltert:
98% der MySQL-Attacken kommen von chinesischen Universitäten.
Nur mal so zur Info  |
|
| Nach oben |
|
|
amazing
Neuer Benutzer
Anmeldedatum: 17.02.2008
Beiträge: 9
Wohnort: Essen
|
|
| Nach oben |
|
|
synapsis
Administrator
Anmeldedatum: 15.10.2006
Beiträge: 385
Wohnort: Nahe München
Programmiersprachen: C/C++, VB, (Java), php, JS, AJAX, (Python)
Compiler: MS VS2005 SE
|
| Verfasst am: 21.02.2008, 14:56 Titel: |
|
|
ja ja, die lieben Chinesen  Mich würd bloß interessieren, ob die Uni-Leitungen des von sich aus machen ^^ oder die einfach ihr System nicht absichern....
SNORT hab ich mir jetzt auch mal angeschaut, ist recht interessant. Im moment hab ich leider bloß recht wenig Zeit mich damit ausgiebig zu beschäftigen :-/ |
|
| Nach oben |
|
|
Faktotum
Benutzer
Anmeldedatum: 13.12.2007
Beiträge: 32
Wohnort: /home/krisi
Programmiersprachen: alles mögliche, nix perfekt
|
| Verfasst am: 22.02.2008, 17:35 Titel: |
|
|
@amazing:
Hab' ich das richtig verstanden? Chinesische Unis scannen das Netz nach schwach gesicherten Servern ab?
klingt ja hart.... ob da 'nur' böse Studenten dahinter stecken?
Ich hab leider mangels eigenem Server relativ wenig Erfahrung mit solchen Attacken .. hab nur schon in dem ein oder anderen Server-Log rumgegruschtelt und hab da auch so Sachen wie Scans nach phpmyadmin gefunden...
_________________
Linux 4 ever !
------ |
|
| Nach oben |
|
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Anhänge in diesem Forum nicht anhängen.
Du kannst Dateien in diesem Forum herunterladen.
|
|
