image

Ierse server in vijf jaar tijd 700.000 keer aangevallen

vrijdag 25 mei 2007, 12:50 door Redactie, 10 reacties

Servers van het Ierse Honeynet project zijn in vijf jaar tijd elk 700.000 keer aangevallen, wat neerkomt om 3000 pogingen per week om de systemen over te nemen. Volgens de onderzoekers achter het project laten de cijfers zien hoe belangrijk het is om aan vulnerability management te doen. "Alleen door het nemen van pro-actieve stappen, en er eerder zijn voordat het te laat is, kun je de vastbesloten aanvallers buiten houden," zegt Colm Murphy.

Murphy geeft de volgende punten voor een succesvolle vulnerability management strategie:

  • Creëer security policies & controls.
  • Track je systemen/ categoriseer je assets.
  • Scan systemen op kwetsbaarheden.
  • Vergelijk de lekken met je systemen.
  • Classificeer je risico's.
  • Test de patches van tevoren.
  • Pas de patches toe.
  • Scan alles opnieuw en bevestig de fixes.
  • Reacties (10)
    25-05-2007, 12:55 door Anoniem
    We kunnen dit natuurlijk blijven herkauwen, maar het is echt
    geen nieuws meer.
    25-05-2007, 12:59 door _Peterr
    Definieer aanval.

    Wat is een aanval? NMAP, is dat al een aanval? Of een request naar de SSH poort?

    Ik vind dit soort verhalen altrijd een beetje overdreven. Alsof de Hackergemeenschap 3000 aanvallen per week doet op 1 server (Cluster).
    25-05-2007, 13:45 door Anoniem
    Tja, je kunt je natuurlijk afvragen waarom JIJ toevallig een nmap scan doet
    op een server in Ierland..> waar was dat voor nodig ?

    Dat is net zoiets als roepen "ik rij elke dag 240km/h, en nu wordt er 1 keer
    gecontrolleert en nu krijg ik een bekeuring"...
    25-05-2007, 13:57 door Anoniem
    Heb een tijdje (3 maanden) een nepenthes honeypot
    (http://www.malwarecollect.org) aan mijn ADSL verbinding gehangen
    (via demon.nl). 3000 aanvallen per week kan heel aardig
    kloppen.
    Maar er wordt in het verhaal niet bij verteld dat veel van
    deze aanvallen volledig geautomatiseerd zijn. Veel van deze
    aanvallen worden uitgevoerd door zombie machines uit een
    botnet dat zich op deze manier probeert uit te breiden.
    In maart ben ik over gegaan naar xs4all. Toen was het uit
    met de pret. xs4all schermt zijn netwerk behoorlijk goed af
    van dit soort aanvallen. :-( jammer was wel interessant. :-)
    25-05-2007, 14:57 door Anoniem
    Door Anoniem
    In maart ben ik over gegaan naar xs4all. Toen was het uit
    met de pret. xs4all schermt zijn netwerk behoorlijk goed af
    van dit soort aanvallen.

    Eeehm, wat blokkeert xs4all dan ? Ik kom van cistron naar
    xs4all (nee niet dankzij de overname), merk ook wat minder
    'ruis' maar kan van buiten prima mijn eigen doos scannen.
    Ook dshield logs / snort logged er lustig op los... Dus
    graag wat meer info ;-)
    25-05-2007, 15:27 door Anoniem
    Gaap. Als ik mijn firewall log bekijk en daar iedere
    verdachte handeling (probe op gesloten poort) tel als een
    inbraakpoging, zal ik vast ook wel in die buurt komen.
    25-05-2007, 20:26 door Anoniem
    qoute:
    ____________________________________________________________
    Eeehm, wat blokkeert xs4all dan ? Ik kom van cistron naar
    xs4all (nee niet dankzij de overname), merk ook wat minder
    'ruis' maar kan van buiten prima mijn eigen doos scannen.
    Ook dshield logs / snort logged er lustig op los... Dus
    graag wat meer info ;-)
    -------------------------------------------------------------------------------------------

    ?? Bij mij komt er bijna niets meer binnen in de logs
    zo nu en dan een paketje op 1024 en nog een paar andere
    poorten, maar dat zijn er hooguit 20-30 per dag. Ik kan het
    verschil niet verklaren. Zou xs4all het overgenomen demon.nl
    netwerk extra hebben afgeschermd?
    26-05-2007, 18:09 door Anoniem

    ?? Bij mij komt er bijna niets meer binnen in de logs

    Een klein greepje:

    May 26 17:31:34 mijn_routertje 1082: May 26 17:31:33.334
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    86.71.104.159(1688) (Dialer0 ) -> 213.84.32.***(4899), 1 packet
    May 26 17:31:42 mijn_routertje 1083: May 26 17:31:41.102
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    168.64.140.93(31087) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
    May 26 17:36:10 mijn_routertje 1084: May 26 17:36:09.829
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(62074), 1
    packet
    May 26 17:36:10 mijn_routertje 1085: May 26 17:36:09.829
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(53787), 3
    packets
    May 26 17:36:10 mijn_routertje 1086: May 26 17:36:09.833
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.162(8000) (Dialer0 ) -> 213.84.32.***(61846), 2
    packets
    May 26 17:36:10 mijn_routertje 1087: May 26 17:36:09.833
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.163(8000) (Dialer0 ) -> 213.84.32.***(51590), 3
    packets
    May 26 17:36:10 mijn_routertje 1088: May 26 17:36:09.833
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(60104), 2
    packets
    May 26 17:36:11 mijn_routertje 1089: May 26 17:36:09.833
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.160(8000) (Dialer0 ) -> 213.84.32.***(56407), 1
    packet
    May 26 17:36:11 mijn_routertje 1090: May 26 17:36:09.833
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.162(8000) (Dialer0 ) -> 213.84.32.***(57706), 2
    packets
    May 26 17:36:11 mijn_routertje 1091: May 26 17:36:09.837
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(58698), 2
    packets
    May 26 17:37:11 mijn_routertje 1092: May 26 17:37:09.882
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(51802), 2
    packets
    May 26 17:37:11 mijn_routertje 1093: May 26 17:37:09.882
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.160(8000) (Dialer0 ) -> 213.84.32.***(57581), 1
    packet
    May 26 17:37:11 mijn_routertje 1094: May 26 17:37:09.886
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    216.250.188.160(8000) (Dialer0 ) -> 213.84.32.***(55643), 2
    packets
    May 26 17:37:36 mijn_routertje 1095: May 26 17:37:34.842
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    60.12.166.201(49900) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
    May 26 17:38:58 mijn_routertje 1096: May 26 17:38:56.703
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    221.208.208.92(36594) (Dialer0 ) -> 213.84.32.***(1027), 1
    packet
    May 26 17:46:22 mijn_routertje 1097: May 26 17:46:21.365
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
    213.221.92.169(4812) (Dialer0 ) -> 213.84.32.***(143), 1 packet
    May 26 17:47:29 mijn_routertje 1098: May 26 17:47:27.826
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    204.16.208.64(35270) (Dialer0 ) -> 213.84.32.***(1027), 1 packet
    May 26 17:52:08 mijn_routertje 1100: May 26 17:52:06.670
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    60.12.166.201(54795) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
    May 26 17:52:37 mijn_routertje 1101: May 26 17:52:36.126
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    221.209.110.7(41198) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
    May 26 17:55:06 mijn_routertje 1102: May 26 17:55:04.736
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    222.161.2.48(60766) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
    May 26 17:57:12 mijn_routertje 1103: May 26 17:57:10.742
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    60.12.166.201(54796) (Dialer0 ) -> 213.84.32.***(1027), 1 packet
    May 26 17:58:12 mijn_routertje 1104: May 26 17:58:10.791
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    221.209.110.7(41198) (Dialer0 ) -> 213.84.32.***(1027), 1 packet
    May 26 18:00:12 mijn_routertje 1105: May 26 18:00:10.872
    CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
    222.161.2.48(60769) (Dialer0 ) -> 213.84.32.***(1027), 1 packet

    Op dit moment zal er wel iemand een p2p ding draaien ergens,
    maar die 143 geeft al aan dat alles < 1024 ook doorgaat,
    zoals ik eerder al zei. ICMP wordt niet geblocked dus niet
    gelogged.

    dst IP-adres obfuscated to prectect the innocent. Het
    src-adres aanpassen was me iets teveel werk. Tijd voor een
    soort fuzzy sed :-D
    27-05-2007, 11:31 door Anoniem
    Off-topic:

    dat het Murphy betrokken is bij het honey-pot...

    (oke, wel een beetje flauw)
    31-05-2007, 15:23 door Anoniem
    Correctie op voorgaande bericht URL moet zijn http://www.mwcollect.org
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.