scriptkiddies & reporting

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
Django
Beiträge: 11
Registriert: 11. Jun 2014, 14:50
Wohnort: dahoam
Kontaktdaten:

scriptkiddies & reporting

Beitrag von Django »

HI Martin,

Ich habe hier einige vHOSTs am laufen und sehe da bei den größeen, dass anscheinend irgendwelche sciptkiddies wellknownpages wahllos bei den Apachen abfragen. Die versuchen anscheinend ungesicherte PHP-/Administrationsseiten abzugreifen um so potentielle Einbruchsstellen zu finden. :evil:

Soll ich Euch diese auch reporten, oder eher nicht? Wenn ja, welcher Art reports, gff. welche Angaben braucht ihr? Oder reicht gar die Standardeinstellung von fail2ban, wie ich sie z.B. auch bei den SASL-Reports verwende?

ttyl
Django

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: scriptkiddies & reporting

Beitrag von Martin »

Hi Django,

kannst du evtl. ein paar Zeilen der Logfiles anonymisiert posten, dann kann ich mal schauen, ob es dafür ein xarf-Typ gibt.
Ansonsten gibt es z.B. für wp-login.php, login.php, /administrator/...., also login-brute-force "webmin" und "wp-bruteforce".
Für "wootwoot" und zu viele 404-Zugriffe gab es auch einmal ein Typ, haben wir aber wegen dem Majestic Mj12-Bot eingestellt (zu viele false-positives).
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Django
Beiträge: 11
Registriert: 11. Jun 2014, 14:50
Wohnort: dahoam
Kontaktdaten:

Re: scriptkiddies & reporting

Beitrag von Django »

HI Martin,

Ich weiß ja nicht, was Dein MX mit all den nachrichten anfängt, die er von meinem MX bekommt. Da sollten eigentlich genügend von mir liegen. ;)

Nun ja, die abnormalen Zugriffe sehen eigentlich immer ähnlich aus. da versucht jemand Seiten abzugreifen, die es nicht gibt:

Code: Alles auswählen

 
[Sat Jun 21 12:56:27 2014] [error] [client aaa.bbb.ccc.ddd] File does not exist: /var/www/dw/nyet.gif
[Sat Jun 21 12:56:27 2014] [error] [client aaa.bbb.ccc.ddd] File does not exist: /var/www/dw/components
[Sat Jun 21 12:56:27 2014] [error] [client aaa.bbb.ccc.ddd] File does not exist: /var/www/dw/administrator
[Sat Jun 21 12:56:27 2014] [error] [client aaa.bbb.ccc.ddd] File does not exist: /var/www/dw/components
[Sat Jun 21 12:56:28 2014] [error] [client aaa.bbb.ccc.ddd] File does not exist: /var/www/dw/components
[Sat Jun 21 12:56:28 2014] [error] [client aaa.bbb.ccc.ddd] File does not exist: /var/www/dw/components
oder

Code: Alles auswählen

 [Sun Jun 22 09:45:49 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/register.php' not found or unable to stat
[Sun Jun 22 09:45:56 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/ucp.php' not found or unable to stat
[Sun Jun 22 09:46:02 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/modules.php' not found or unable to stat
[Sun Jun 22 09:46:02 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/mboard.php' not found or unable to stat
[Sun Jun 22 09:46:03 2014] [error] [client aaa.bbb.ccc.ddd]] File does not exist: /var/www/dw/entry
[Sun Jun 22 09:46:03 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/register.php' not found or unable to stat
[Sun Jun 22 09:46:13 2014] [error] [client aaa.bbb.ccc.ddd]] File does not exist: /var/www/dw/gÀstebuch
[Sun Jun 22 09:46:13 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/newentry.php' not found or unable to stat
[Sun Jun 22 09:46:20 2014] [error] [client aaa.bbb.ccc.ddd]] Options ExecCGI is off in this directory: /var/www/dw/input.cgi
[Sun Jun 22 09:46:26 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/sign.php' not found or unable to stat
[Sun Jun 22 09:46:27 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/sign.php' not found or unable to stat
[Sun Jun 22 09:46:33 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/submit.php' not found or unable to stat
[Sun Jun 22 09:46:34 2014] [error] [client aaa.bbb.ccc.ddd]] script '/var/www/dw/submit.php' not found or unable to stat
[Sun Jun 22 09:46:34 2014] [error] [client aaa.bbb.ccc.ddd]] File does not exist: /var/www/dw/login
Das Abgrasen nach vermeintlichen Lücken tut zwar nicht weh, aber denn och blocke ich die weg. Normale Zugriffe sind ja O.K. und auch willkommen, aber diese Abfragen nach vermeintliche Lücken, Schwachstellen oder Hintertürchen könne die gerne wo anders mavchen, aber nicht auf meinem vHOST!

Die Blocks laufen bei badips.comauf und die Statusmails kommen auch bei blocklist.de an, aber diese werden wohl noch nicht ausreichend gemarkt, damit Ihr diese automatisiert weiterverarbeiten könnt.

Also was muss/darf/soll ich tun?


Servus
Django

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: scriptkiddies & reporting

Beitrag von Martin »

Hi Django,

diese Art von Attacken, können wir aufgrund der hohen false-positive-Rate nicht reporten.
Die Reports werden von uns beim Eingang direkt gelöscht und nicht weiter verarbeitet.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Django
Beiträge: 11
Registriert: 11. Jun 2014, 14:50
Wohnort: dahoam
Kontaktdaten:

Re: scriptkiddies & reporting

Beitrag von Django »

HI Martin,
diese Art von Attacken, können wir aufgrund der hohen false-positive-Rate nicht reporten.
O.K. Schade, aber Du bist der Meister! ;)

Soll ich die an Euch dann überhaupt reporten, oder selber sammeln und dann tätig werden?

ttyl
Django

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: scriptkiddies & reporting

Beitrag von Martin »

Hallo Django,

natürlich kannst du diese auch selbst reporten. Über uns ist dies aktuell und auch in absehbarer Zukunft leider nicht möglich.

Wir können für eine feste IP-Adresse (Server) Dir die API für unsere Datenbank freischalten, wo du dann die Empfänger-Adressen für die IPs erhalten kannst.
Diese ist eigentlich sehr aktuell und wenn z.B. Provider andere Adressen verwenden möchten, so sind diese dort enthalten, ebenso wie Rewrites (Microsoft Abuse zu cert, da die Mails sonst von azure nur bei msn landen).
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten