Archive for Mai 2010

 
 

IRC-Botnetz Monitoring

Ich habe meine Domain botnetzprovider.de wieder reaktiviert und schreibe nun dort ausführlich über IRC-Botnetz Monitoring.

Mein neuer Freund hat heute, so gegen 14Uhr angefangen, massiv im Internet zu scannen nach RFI (remote files inclusion) Lücken.
Dies ist natürlich nicht unentdeckt geblieben und meine Honeypots haben eine hohe Aktivität gezeigt.
Hier ein kleiner Ausschnitt aus meinen Honeypot logs:

[HIER ZUM WEITERLESEN]

Update: Bin ich davon auch betroffen? – live monitoring der IRC-c&c Server

Mit dem Namenarray des Bots abgeglichene und formatierte IP/Host Liste: HIER downloaden

SSH-Angriffe mit Fail2Ban stoppen und melden – blocklist.de

Wer mit Fail2Ban z.B. SSH-Angriffe oder Einbruchsversuche via SMTP, FTP
oder über den Apache überwacht und automatisch sperren lässt, kann mit
dem Projekt von http://www.blocklist.de die Angreifer automatisiert den zuständigen Provider melden, damit diese die infizierten PC’s/Server
überprüfen, bzw. den Kunden darüber in Kenntnis setzten.

Im Vergleich zu dem direkten Reporting von Fail2Ban, sendet blocklist.de
nur alle 24 Stunden bei erneuten Angriffen ein Report, wodurch die
Abuse-Departments nicht alle paar Minuten einen Report erhalten (was
sehr nerven kann). Die Abuse-Departments können die Reports zudem für
mehrere Tage aussetzten lassen, falls diese z.B. für die Bereinigung
mehr Zeit benötigen.

Als registrierter User, sieht man über seine Server eigene Statistiken
oder kann sich mit den anderen Servern vergleichen und auch die
IP-Adressen der Angreifer für eigene Firewalls der letzten 24 Stunden
herunter laden.
Die Reports werden in X-ARF (http://www.x-arf.org/) generiert, wodurch
die Reports automatisiert verarbeitet und einfach erweitert werden können.
Die Bounce-Mails werden automatisch ausgewertet und so veraltete
Abuse-Adressen angepasst oder auf Wunsch gegen bessere Adressen ersetzt.

Die Beispiel-Konfiguration
(http://www.blocklist.de/downloads/fail2ban.config.tar.gz) muss auf den
gängigsten Systemen nur in der jail.conf bei der Absender-Adresse von
„fail2ban@DEINE-DOMAIN“ durch die eigene Absender-Adresse angepasst
werden und dann kann man den Server hinzufügen und reporten oder die Reports
weiterleiten.