Når kineserne banker på

Jeg har for haft Logwatch installeret på min server i årevis for at følge lidt med i hvad, der sker. Det er et glimrende program, der mailer en summary-email hver morgen til mig med highlights af hvad der er sket det forgange døgn. Det kan ikke forhindre indbrud, men er glimrende til at fange webserver-links, der ikke virker og andet.

Gårsdagens Logwatch email gav f.eks.

################### Logwatch 7.4.0 (05/02/12) #################### 
        Processing Initiated: Sun Apr  5 06:25:09 2015
        Date Range Processed: yesterday
                              ( 2015-Apr-04 )
                              Period is day.
        Detail Level of Output: 0
        Type of Output/Format: mail / text
        Logfiles for Host: toft
 ################################################################## 
 
 --------------------- httpd Begin ------------------------ 
 
 Requests with error response codes
    403 Forbidden
       /vtigercrm/: 1 Time(s)
    404 Not Found
       /wordpress/wp-admin/: 5 Time(s)
       /blog/wp-admin/: 4 Time(s)
       /old/wp-admin/: 4 Time(s)
       /wp/wp-admin/: 4 Time(s)
       //wp-login.php: 3 Time(s)

dvs. gentagne wordpress-angreb denne gang. Havde jeg en ikke-patchet word-press, så havde jeg nok haft krise allerede, så LogWatch giver kun hints om hvilke angreb, der florerer.

I sidste uge var der i øvrigt interessante ting i LogWatch et par dage i træk

A total of 28 sites probed the server 
    123.125.71.101
    123.125.71.102
    123.125.71.103
    123.125.71.105
    123.125.71.114
    123.125.71.117
    123.125.71.12
    123.125.71.19
    123.125.71.31
    123.125.71.57
    123.125.71.82
    123.125.71.84
    123.125.71.91
    220.181.108.103
    220.181.108.104
    220.181.108.106
    220.181.108.109
    220.181.108.115
    220.181.108.120
    220.181.108.141
    220.181.108.142
    220.181.108.161
    220.181.108.167
    220.181.108.171
    220.181.108.173
    220.181.108.81
    220.181.108.82
    220.181.108.88

Ikke nok med at min maskine blev probet, men det kommer fra en række maskiner i to netværks-segmenter - hvad hulen sker der lige? Jeg er vant til at tilfældige maskiner prober min maskine fra tid til anden, men her sker der alligevel noget seriøst. 220.181.108.x og 123.125.71.x, og ud fra http://ip-lookup.net/index.php tyder det på at det er en kinesisk web-crawler service Baidu, som tæsker løs på min webserver fra 28 forskellige adresser.

Jeg har besluttet, at det behøver de ikke at gøre, og i stedet for at gøre det på den pæne måde, blev det blokeret i min firewall UFW.

ufw insert 1 deny from 220.181.108.0/24
ufw insert 1 deny from 123.125.71.0/24

og så hørte jeg ikke mere fra Baidu. De kan ikke længere tilgå min maskine fra de to IP-områder 220.181.108.x og 123.125.71.x.

Hvad har du af politik mht. overvågning af "lidt-for-aktiv" tilgang til din server?

/pto

Kommentarer (16)
Klaus Kolle

Jeg har efterhånden de fleste af de kinesiske subnets blokeret på mine servere. Jeg har ikke noget med dem at gøre og der er en uendelig banken på fra dem. Det har jeg ikke brug for. Så sålænge der ikke er styr på kineseriet så blir de udenfor.

Denyhosts er også god til at lukke ned undervejs når de banker på ssh - og vi deler gerne med de 160.000+ andre ude på nettet, som også blokerer med denyhosts.

De giver nye studerende lidt problemer, men de må lære at hvis de ikke kan huske deres password efter første forsøg, så må de hellere få hjælp før de bliver udelukket og bandlyst i en længere periode for det er lidt af et helvede at fjerne dem fra denyhosts igen.

Bent Jensen

Til PT. og andre der har forslag.

Bruger du din server rå på netter, eller er den i en DNS ?
Har selv tænk på at lave en FW i noget Hardware i stedet for den TP Link jeg bruger nu, men tænker på strømregning og båndbrede. Har 300/300 Mbit og kan se problem ved at lave en server rode for meget, hvis også ens spil skal køre glat. Ideer ?
Det som jeg kunne bruge mest var en "denyhosts", hvor også alle site med popup, flash, og andet utøj blev lukket af. Nogen ideer. også til hvordan og hvor man henter sådanne lister og vedligeholder dem ?

Synes ikke helt offtrop, Mange år siden jeg har arbejdet med FW/Routere udover lidt VPN og lidt flueben i standart software i min egen mainstream enhed.
Nogen forslag også uden at skulle bruge flere måneder på at læse manualer ?

Esben Madsen

Udover logwatch til at give lidt rapport (har bl.a. en enkelt gang fanget en hacket mailaccount ud fra mystisk aktivitet der) bruger jeg fail2ban til at smide folk af når de forsøger at bruteforce - primært for at begrænse load og holde logfiler overskuelige... Når der f.eks. bankes på smtp 10-20k gange i sekundet på min lille vps kan det godt mærkes - når hver IP kun når at forsøge 50 gange før de slet ikke får svar fra serveren længere hjælper det gevaldigt... Og får jeg sorteret logfilerne så scriptkiddies og botnets er begrænsede så kan f.eks. logwatch lettere gøre mig opmærksom på reelle trusler end de mange forsøg på at logge ind på root-brugeren (hvem pokker har stadig den åben mod nettet?)

Engang imellem når jeg bliver træt af gengangere i logwatch over længere tid fra samme ASN, ryger det givne ASN i en liste jeg bruger til dagligt at opdatere en blockliste i iptables... Hinet og China telecom landede f.eks ret hurtigt iøpå listen...

Endelig giver apticron et pip på mailen hvis der er uopdaterede pakker og vedhæftet chamgelogs så du kan se om det er noget du skal reagere hurtigt på... (Naturligvis kun hvis man bruger apt ;))

Knud Jensen

Nogen ide om hvad formålet med Baidu's fremgangsmåde er?

Synes umiddelbart det lyder lidt mystisk for en søgemaskine at forsøge sig med samme link flere gange, på så kort tid.
Og lidt underligt at de gerne vil se om netop disse link eksisterer.

Michael Kjems

Har en Linux-server stående, der i stigende grad bliver forsøgt bruteforcet via ssh. Her har jeg med fordel brugt fail2ban, som kan sættes til at skimme diverse logs, fx auth.log og så spærre ip-adresser i kortere eller længere tid via iptables.

I mit setup spærres en ip i 10 minutter ved fejlet login (eller login med bruger root, som ikke på logge direkte på). Hvis man 3 gange har fået en 10 min ban, så ryger man på den permanente liste.
Jeg få en mail hver gang nogen ryger på den permanente ban-liste, og her optræder så mange kinesiske ip'er at jeg er gået over til helt at blokere kina, da jeg ikke så ofte er der selv, og ikke har kunder der.
til kina-blokeringen bruger jeg dette elegante script
næste projekt er at få fail2bans ban-lister skubbet ud i min router, så banditterne afvises ved døren.

Det lækre ved fail2ban er, at man kan tilrette det til en vilkårlig log og derved overvåge alle mulige systemer, så længe de logger en ip-adresse.

Hans Henrik Jakobsen

Havde et galleri hvor jeg kunne udveksle billeder med min "kunder".

Jeg fandt dog hurtigt ud af, at det ikke kun var danske forbindelser som hentede min billeder, men en strøm at kinesere og amerikanere som syntes, at billederne var så gode at de straks måtte have dem ned på deres computer.

Jeg syntes det var synd for fætter Arne at alle bilederne fra deres sølvbryllup blev misbrugt, så galleriet er lukket ned.

Hvis det havde været kommercielle billeder så havde jeg nok lavet en ordning så det ikke var muligt at bruge direkte uden et større arbejde.

Men synd for Arne at han ikke mere kan kigge på sine billeder.

Martin M. S. Pedersen

Jeg bruger også logwatch dagligt og ser samme mønster fra Kina.
Min anbefaling er derimod varm kakao. Det giver ihvertfalde mig selv en god
ro og afslapning, så jeg ikke bekymrer mig så meget.
Jeg mener det seriøst. Så længe jeg har gode password og opdateret systemet, så må det være nok.

Jeg bruger dog også fail2ban, så man bliver udelukket i en times tid efter et par mislykkedes ssh-forsøg.

Eyðun Nielsen

til kina-blokeringen bruger jeg dette elegante script

Tak, det vil jeg se på. Fordi jeg overvejer også at fuldstændig blokere Kina.

Jeg har foreløbig hævet bantime fra 10 min. til 24 timer.

Men hvad nu, hvis vi alle satte fail2ban op til at starte LOIC op til at skyde pakker den anden vej i banperioden? :-)

Vi er nok lidt flere der bliver angrebet end hvad der er kinesere der angriber.

Log ind eller Opret konto for at kommentere