Dette indlæg er alene udtryk for skribentens egen holdning.

Når kineserne banker på

Af Peter Toft6. april 2015 kl. 15:5016
Artiklen er ældre end 30 dage

Jeg har for haft Logwatch installeret på min server i årevis for at følge lidt med i hvad, der sker.
Det er et glimrende program, der mailer en summary-email hver morgen til mig med highlights af hvad der er sket det forgange døgn.
Det kan ikke forhindre indbrud, men er glimrende til at fange webserver-links, der ikke virker og andet.

Gårsdagens Logwatch email gav f.eks.

  1. ################### Logwatch 7.4.0 (05/02/12) ####################
  2. Processing Initiated: Sun Apr 5 06:25:09 2015
  3. Date Range Processed: yesterday
  4. ( 2015-Apr-04 )
  5. Period is day.
  6. Detail Level of Output: 0
  7. Type of Output/Format: mail / text
  8. Logfiles for Host: toft
  9. ##################################################################
  10.  
  11. --------------------- httpd Begin ------------------------
  12.  
  13. Requests with error response codes
  14. 403 Forbidden
  15. /vtigercrm/: 1 Time(s)
  16. 404 Not Found
  17. /wordpress/wp-admin/: 5 Time(s)
  18. /blog/wp-admin/: 4 Time(s)
  19. /old/wp-admin/: 4 Time(s)
  20. /wp/wp-admin/: 4 Time(s)
  21. //wp-login.php: 3 Time(s)

dvs. gentagne wordpress-angreb denne gang. Havde jeg en ikke-patchet word-press, så havde jeg nok haft krise allerede, så LogWatch giver kun hints om hvilke angreb, der florerer.

I sidste uge var der i øvrigt interessante ting i LogWatch et par dage i træk

  1. A total of 28 sites probed the server
  2. 123.125.71.101
  3. 123.125.71.102
  4. 123.125.71.103
  5. 123.125.71.105
  6. 123.125.71.114
  7. 123.125.71.117
  8. 123.125.71.12
  9. 123.125.71.19
  10. 123.125.71.31
  11. 123.125.71.57
  12. 123.125.71.82
  13. 123.125.71.84
  14. 123.125.71.91
  15. 220.181.108.103
  16. 220.181.108.104
  17. 220.181.108.106
  18. 220.181.108.109
  19. 220.181.108.115
  20. 220.181.108.120
  21. 220.181.108.141
  22. 220.181.108.142
  23. 220.181.108.161
  24. 220.181.108.167
  25. 220.181.108.171
  26. 220.181.108.173
  27. 220.181.108.81
  28. 220.181.108.82
  29. 220.181.108.88

Ikke nok med at min maskine blev probet, men det kommer fra en række maskiner i to netværks-segmenter - hvad hulen sker der lige?
Jeg er vant til at tilfældige maskiner prober min maskine fra tid til anden, men her sker der alligevel noget seriøst. 220.181.108.x og 123.125.71.x, og
ud fra http://ip-lookup.net/index.php tyder det på at det er en kinesisk web-crawler service Baidu, som tæsker løs på min webserver fra 28 forskellige adresser.

Artiklen fortsætter efter annoncen

Jeg har besluttet, at det behøver de ikke at gøre, og i stedet for at gøre det på den pæne måde, blev det blokeret i min firewall UFW.

  1. ufw insert 1 deny from 220.181.108.0/24
  2. ufw insert 1 deny from 123.125.71.0/24

og så hørte jeg ikke mere fra Baidu. De kan ikke længere tilgå min maskine fra de to IP-områder 220.181.108.x og 123.125.71.x.

Hvad har du af politik mht. overvågning af "lidt-for-aktiv" tilgang til din server?

/pto

16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
17. april 2015 kl. 21:13

Jeg har en overgang ledt kinesiske søgemaskiner videre til en side om kinesiske nobelpristagere. Så klarer den store firewall vel resten :-)

12
8. april 2015 kl. 18:28

Ja - det lyder rigtig smart med den kombination :)

10
7. april 2015 kl. 11:01

Jeg bruger også logwatch dagligt og ser samme mønster fra Kina. Min anbefaling er derimod varm kakao. Det giver ihvertfalde mig selv en god ro og afslapning, så jeg ikke bekymrer mig så meget. Jeg mener det seriøst. Så længe jeg har gode password og opdateret systemet, så må det være nok.

Jeg bruger dog også fail2ban, så man bliver udelukket i en times tid efter et par mislykkedes ssh-forsøg.

13
8. april 2015 kl. 18:31

Min anbefaling er derimod varm kakao

Hæ - god pointe!

Torsten Lehmann fra Elektronisk Institut på DTU, der lærte mig Linux i 1994 forklarede mig om root-kontoen. Tag en rød hat på, sæt hænderne under rumpen - først derefter overvej at skrive "su - root" :-)

9
7. april 2015 kl. 10:37

Havde et galleri hvor jeg kunne udveksle billeder med min "kunder".

Jeg fandt dog hurtigt ud af, at det ikke kun var danske forbindelser som hentede min billeder, men en strøm at kinesere og amerikanere som syntes, at billederne var så gode at de straks måtte have dem ned på deres computer.

Jeg syntes det var synd for fætter Arne at alle bilederne fra deres sølvbryllup blev misbrugt, så galleriet er lukket ned.

Hvis det havde været kommercielle billeder så havde jeg nok lavet en ordning så det ikke var muligt at bruge direkte uden et større arbejde.

Men synd for Arne at han ikke mere kan kigge på sine billeder.

8
7. april 2015 kl. 08:41

Har en Linux-server stående, der i stigende grad bliver forsøgt bruteforcet via ssh. Her har jeg med fordel brugt fail2ban, som kan sættes til at skimme diverse logs, fx auth.log og så spærre ip-adresser i kortere eller længere tid via iptables.

I mit setup spærres en ip i 10 minutter ved fejlet login (eller login med bruger root, som ikke på logge direkte på). Hvis man 3 gange har fået en 10 min ban, så ryger man på den permanente liste. Jeg få en mail hver gang nogen ryger på den permanente ban-liste, og her optræder så mange kinesiske ip'er at jeg er gået over til helt at blokere kina, da jeg ikke så ofte er der selv, og ikke har kunder der. til kina-blokeringen bruger jeg dette elegante scriptnæste projekt er at få fail2bans ban-lister skubbet ud i min router, så banditterne afvises ved døren.

Det lækre ved fail2ban er, at man kan tilrette det til en vilkårlig log og derved overvåge alle mulige systemer, så længe de logger en ip-adresse.

15
12. april 2015 kl. 23:35

til kina-blokeringen bruger jeg dette elegante script

Tak, det vil jeg se på. Fordi jeg overvejer også at fuldstændig blokere Kina.

Jeg har foreløbig hævet bantime fra 10 min. til 24 timer.

Men hvad nu, hvis vi alle satte fail2ban op til at starte LOIC op til at skyde pakker den anden vej i banperioden? :-)

Vi er nok lidt flere der bliver angrebet end hvad der er kinesere der angriber.

7
7. april 2015 kl. 01:34

Nogen ide om hvad formålet med Baidu's fremgangsmåde er?

Synes umiddelbart det lyder lidt mystisk for en søgemaskine at forsøge sig med samme link flere gange, på så kort tid. Og lidt underligt at de gerne vil se om netop disse link eksisterer.

6
6. april 2015 kl. 22:06

Udover logwatch til at give lidt rapport (har bl.a. en enkelt gang fanget en hacket mailaccount ud fra mystisk aktivitet der) bruger jeg fail2ban til at smide folk af når de forsøger at bruteforce - primært for at begrænse load og holde logfiler overskuelige... Når der f.eks. bankes på smtp 10-20k gange i sekundet på min lille vps kan det godt mærkes - når hver IP kun når at forsøge 50 gange før de slet ikke får svar fra serveren længere hjælper det gevaldigt... Og får jeg sorteret logfilerne så scriptkiddies og botnets er begrænsede så kan f.eks. logwatch lettere gøre mig opmærksom på reelle trusler end de mange forsøg på at logge ind på root-brugeren (hvem pokker har stadig den åben mod nettet?)

Engang imellem når jeg bliver træt af gengangere i logwatch over længere tid fra samme ASN, ryger det givne ASN i en liste jeg bruger til dagligt at opdatere en blockliste i iptables... Hinet og China telecom landede f.eks ret hurtigt iøpå listen...

Endelig giver apticron et pip på mailen hvis der er uopdaterede pakker og vedhæftet chamgelogs så du kan se om det er noget du skal reagere hurtigt på... (Naturligvis kun hvis man bruger apt ;))

4
6. april 2015 kl. 20:06

Til PT. og andre der har forslag.

Bruger du din server rå på netter, eller er den i en DNS ? Har selv tænk på at lave en FW i noget Hardware i stedet for den TP Link jeg bruger nu, men tænker på strømregning og båndbrede. Har 300/300 Mbit og kan se problem ved at lave en server rode for meget, hvis også ens spil skal køre glat. Ideer ? Det som jeg kunne bruge mest var en "denyhosts", hvor også alle site med popup, flash, og andet utøj blev lukket af. Nogen ideer. også til hvordan og hvor man henter sådanne lister og vedligeholder dem ?

Synes ikke helt offtrop, Mange år siden jeg har arbejdet med FW/Routere udover lidt VPN og lidt flueben i standart software i min egen mainstream enhed.
Nogen forslag også uden at skulle bruge flere måneder på at læse manualer ?

2
6. april 2015 kl. 16:47

Jeg har efterhånden de fleste af de kinesiske subnets blokeret på mine servere. Jeg har ikke noget med dem at gøre og der er en uendelig banken på fra dem. Det har jeg ikke brug for. Så sålænge der ikke er styr på kineseriet så blir de udenfor.

Denyhosts er også god til at lukke ned undervejs når de banker på ssh - og vi deler gerne med de 160.000+ andre ude på nettet, som også blokerer med denyhosts.

De giver nye studerende lidt problemer, men de må lære at hvis de ikke kan huske deres password efter første forsøg, så må de hellere få hjælp før de bliver udelukket og bandlyst i en længere periode for det er lidt af et helvede at fjerne dem fra denyhosts igen.

1
6. april 2015 kl. 16:29

eller tager baidu bare mere fat end de andre engines

og for at svare på dig spørgsmål så har jeg bruge 10kr om måneden på at smide det hos en hoster og cloudflare foran som grov filter