Die lange Röhre: Pipes sind cool

Zockertown: Nerten News

Sunday, 15. June 2008

Die lange Röhre: Pipes sind cool

Posted by
bed
at 00:01

Zum Thema lange Pipes habe ich ja schon mal einen Beitrag geschrieben, hier kommt mal eine richtig sinnvolle Anwendung dafür.

Diese scheiß Script Attacks gehen mir nämlich auf den Sack, aber wirklich! Aber demnächst wird zurück geschiossen!  

# Original Logfile Auschnitt:(IP Adressen verfremdet)
localhost||||286||||4.35.446.66 - - [14/Jun/2008:10:59:22 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 286 "-" "-"
localhost||||286||||4.35.446.66 - - [14/Jun/2008:10:59:22 +0200] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 286 "-" "-"
localhost||||286||||4.35.446.66 - - [14/Jun/2008:10:59:23 +0200] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 286 "-" "-"
localhost||||285||||23.133.432.54 - - [14/Jun/2008:13:59:59 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 285 "-" "-"
localhost||||285||||23.133.432.54 - - [14/Jun/2008:14:10:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 285 "-" "-"
localhost||||285||||23.133.432.54 - - [14/Jun/2008:14:10:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 285 "-" "-"
localhost||||285||||23.133.432.54 - - [14/Jun/2008:14:10:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 285 "-" "-"
# Diese Pipe liefert die Angreifer sortiert nach Häufigkeit( Alles in einer Zeile!)
grep '\''localhost||||'\'' /var/log/httpd/ispconfig_access_log|grep '"-" "-"'|
cut -d'|' -f9|awk '{if ($1==old){ sum +=1 } else {print sum " " IP;sum=0 };old=$1;IP=$1;}'
Meine Pipe liefert folgenden Output (wiederum ein Ausschnitt)

223 4.35.446.66 
5 23.133.432.54

Soll also heissen, die IP 4.35.446.66 hat 223 mal Seiten auf dem Server aufgerufen, die alle nur dem Zweck dienen eine Lücke in dem System zu finden. Das wohlgemerkt im täglichen Log, nicht das jemand denkt, das ist ein Monatslog. Nun fehlt eigentlich nur noch eine whois Abfrage, das detailierte Log und eine Beschwerde mail an den Provider. Ich sollte das automatisieren... Dieses Mini Script in einer Shell ist ja schon mal mehr als die halbe Miete.

So, nach ein wenig Bastelei ist das Script fertig, ich werde es mal ein paar Tage lang manuell starten (mit Dry run, bevor ich es richtig starte und dann täglich starten. Wenn ich ein paar mehr whois DB dabei habe, werde ich es hier zum download freigeben.

Der Kommentator Me gab zu bedenken, dass es keine gute Sache wäre, die Abuse Abteilungen mit Scripten automatisch anzuschreiben. Der Schuß könne leicht nach hinten los gehen und die Mail in den Müll wandern.

Ich habe das Script überarbeitet, es mailt jetzt nur noch mir selbst, allerdings schon schön aufbereitet, so das es ein Klacks ist, die Mail abzuschicken.

Es benachrichtigt mich auch, wenn die Mail nicht feststellbar war, somit sind individuelle Anpassungen möglich. (War eben bei einem mit 3209 Zugriffen der Fall)

Dadurch habe ich die volle Kontrolle und kann von Fall zu Fall reagieren.

Ps: Entgegen meiner Ankündigung werde ich das Script nicht zum Download anbieten, sondern nur auf Anforderung per Mail verschicken, dann weiß ich, wen ich im Falle einer Änderung ansprechen kann und kann darauf achten, das die Texte nicht identisch bleiben.

Hier der Kopf des Scripts, die Beschreibung: 

#!/bin/bash
# hack.sh V 0.1 GPL 2.0 Licensed Copyleft by Bed@zockertown.de
# Das Script untersucht das Apache_log nach typischen Mustern,
# die auf Scripte deuten, die Lücken in installierter WebSoftware suchen
# Es kann den Provider direkt mailen, oder (default)
# es sendet eine aufbereitete email an $OWNMAIL, damit ein Mensch
# entscheiden kann und die Mail dann an die entsprechende Abuse Abteilung
# der Provider senden kann.
# Sollte das Script nicht in der Lage sein eine emailadresse aus den whois
# Daten zu extrahieren, so sendet es in jedem Fall eine email mit dem Log-
# file Auszug an $OWNMAIL
#
# IPSLOG ist der Pfad zum Apache_log
ISPLOG=/var/log/httpd/ispconfig_access_log
6 Comments | No Trackbacks
Defined tags for this entry: , , , ,
Related entries by tags:
Trackbacks
Trackback specific URI for this entry
fail2ban nun auch für Apache_log
Gerade ist die Scripterei rund um die Attacken gegen den rootserver von Erfolg gekrönt,da habe ich mal meine bereits seit Anfang an bestehende fail2ban Konfiguration überarbeitet. Das Apache_log ist per Debian default in der fail2ban.conf so eingestellt
Weblog: Zockertown
Tracked: Jun 20, 19:13
Comments
Display comments as (Linear | Threaded)
Auf meinen gestrigen Incident habe ich bereits ein Ticket bekommen, gerade eben habe ich einen Angriff (3209 Zugriffe) aus .cz gemeldet. Mal sehen. Dabei noch einen Mangel im Script entdeckt, da muss ich noch schrauben
#1 bed (Homepage) on 2008-06-15 08:53 (Reply)
Abuse Abteilungen mögen keine automatisierten Beschwerde-E-Mails. Das führt dann nur dazu, dass deine E-Mails direkt in /dev/null landen. Zur eigenen Information ist das Skript in Ordnung, automatisierte E-Mails an die Provider solltest du allerdings unterlassen.
#2 Me on 2008-06-15 11:45 (Reply)
Da hast du bestimmt Recht. Angenommen, in der Mail sind keine sachlichen Fehler, dann können sie das allerdings nicht merken. Es sei denn daran, das der Absernder root ist. Aber meine Güte das machen ja viele, weil sie mit mutt den Systemaccount lesen. Allerdings könnte ich mein Script natürlich auch so umbauen, das es erst mir die Mail sendet, mit bereits mundgerecht aufgebautem Anhang. hhm, Gut wäre auch, ein Ausschnitt des Logs direkt in die Mail zu setzen...
#2.1 bed (Homepage) on 2008-06-15 13:33 (Reply)
Den entsprechenden Ausschnitt der Logs solltest Du auf jeden Fall mit in die Mail nehmen. Wobei in dem oberen Fall 223 Zeilen vielleicht nicht notwendig sind. ;-)
#2.1.1 Mike (Homepage) on 2008-06-15 17:09 (Reply)
Habe ich bereits angepasst, die ersten fünf Zeilen werden in die Mail direkt eingefügt. Dient mir auch dazu zu beurteilen, ob das Script keinen Blödsinn gemacht hat und um welche Art Angriff es sich handelt.
#2.1.1.1 bed (Homepage) on 2008-06-15 17:19 (Reply)
Bernd super sache das Script :-) Danke für die schnellen Antworten. Hoffentlich hört das irgendwann mal auf, aber dann kommt schon das nächste :/ Grüße
#3 Lars Pöpperl (Homepage) on 2009-02-12 00:11 (Reply)
Add Comment
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
 
   
 

Blog abonnieren

Getaggte Artikel





















































































Lizenz der Artikel

Creative Commons License - Some Rights Reserved
Original content in this work is licensed under a Creative Commons License