image

"Breedband PC's 100 keer per dag aangevallen"

woensdag 29 november 2006, 11:14 door Redactie, 5 reacties

Computers in Nieuw-Zeeland met een breedband internetverbinding worden meer dan 100 keer per dag aangevallen, zo blijkt uit onderzoek van IBM ter ere van de internationale computerbeveiligingsdag die morgen plaatsvindt.

Het onderzoek keek naar het soort en de frequentie waarmee een computer die populaire websites bezoekt wordt aangevallen. De dreigingen werden gemonitord via intrusion detection software en bestonden uit wormen, Trojans en hijackers. Het testsysteem was voorzien van een firewall en een volledig gepatcht besturingssysteem. De eerste verdachte activiteit werd al na 20 seconden nadat de machine op het net was aangesloten waargenomen.

Tijdens de 27 dagen van het onderzoek werden er 4500 verdachte of kwaadaardige incidenten opgemerkt. Tijdens de laatste drie dagen besloten de onderzoekers de firewall uit te schakelen, wat zorgde voor een stijging van het aantal incidenten naar 538 per dag. (Stuff)

Reacties (5)
29-11-2006, 11:41 door Gargantua
Ik mag aannemen dat dit zo'n beetje geldt voor elk land dat
over voldoende breedband dekking beschikt, uniek is deze
'vonds' dus niet.

Wat ik me af vraag is of dat dit verschillende aanvallen van
een uniek IP zijn of gewoonweg cumulatief de aanvallen die
vanaf een uniek IP zijn gedaan. [Als in 3x Apache exploit
test , 5x SSH bruteforce, 7x MySQL scriptkiddo vanaf 1 IP,
maakt 3 aanvallen vanaf één uniek IP, of rekenen ze 3+5+7=15
totale aanvallen van af t IP].

Als ik namelijk naar mijn eigen server kijk, is het aantal
aanvallen vanaf een uniek IP op een uniek doel redelijk
beperkt (gemiddeld 4 SSH bruteforce, 2 Apache script en 1
MySQL danwel 1 SMTP probe/attack per dag).
Ga ik echter de optelsom doen van het aantal pogingen om
bijv. SSH te bruteforcen dan gaat de teller erg snel (als ik
de SSH bruteforce kick regel uit de firewall gooi) dan gaat
het soms om 50 pogingen vanaf een uniek IP. Hetzelfde geldt
voor bijv. Apache, een uniek IP dat een poging doet middels
een script dat 25+ beveiligings gaten test. Op die manier
kom ik makkelijk over de 100 cumulatieve aanvallen per dag.
29-11-2006, 11:56 door awesselius
Wat ik wel cool zou vinden is een lijst met iptables regels,
die stuk voor stuk laat zien welk 'probleem' je daarmee af
kunt handelen.

Want ik zie wel hele iptables configuraties op internet
staan, maar die zijn soms zo slecht van commentaar voorzien,
dat je er niet makkelijk doorheen leest.

Ik wil namelijk ook graag aanvallen op Apache of SSH meteen
bij de deur laten droppen. Maar wel gewoon verkeer door
kunnen laten.

Is er iemand die een mooi rijtje van handige regels heeft
voor iptables?

En ja, ik ken Snort, maar heb geen tijd gehad me door de config te worstelen.

- Unomi -
29-11-2006, 12:28 door Gargantua
Door Un0mi
..

Ik wil namelijk ook graag aanvallen op Apache of SSH meteen
bij de deur laten droppen. Maar wel gewoon verkeer door
kunnen laten.

...
- Unomi -

Voor SSH kun je Fail2Ban gebruiken, na X mislukte
inlogpogingen een ban voor het IP van Y minuten. Werkt voor
mij uitstekend.

url: http://fail2ban.sourceforge.net/wiki/index.php/Main_Page

Voor Apache kun mod_security gebruiken, heb ik geen ervaring
mee.

url:
http://www.gotroot.com/tiki-index.php?page=mod_security+rules
29-11-2006, 12:34 door awesselius
@Gargantua:
Bedankt.

Ik heb wel phreld geinstalleerd, wat ook zoiets zou moeten
doen. Maar daarvan is zo weinig documentatie te vinden (nog).

Ik ga fail2ban eens bekijken.

- Unomi -
29-11-2006, 13:05 door Gargantua
Door Un0mi
@Gargantua:
Bedankt.

Ik heb wel phreld geinstalleerd, wat ook zoiets zou moeten
doen. Maar daarvan is zo weinig documentatie te vinden (nog).

Ik ga fail2ban eens bekijken.

- Unomi -

Klopt phreld lijkt mij er meer opgericht te zijn om dDOS te
voorkomen en minder om exploits te blokkeren/negeren. Ik
zelf heb phreld inmiddels verwijderdt omdat het eerder tegen
werkte dan mee werkte (kan ook aan mij liggen en inderdaad
documentatie is zeer schaars).

Inmiddels even gezocht en gelezen, op
http://www.howtoforge.com/ onder apache hebben ze een howto
van mod_security staan en wat ik zo snel gelezen heb is het
erg breed inzetbaar (ze geven o.a. een voorbeeld van code
injectie in SQL blocking/filtering). /me heeft vanavond weer
wat te doen ipv voetbal staren op de buis ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.