Scannelnének a rosszfiúk, de kib*szok velük...

Webszervert állítok be és kb 24 óra uptime után egy szűz webszerver logjában érdekes bejegyzéseket találtam. Scannelnének a gonosz bácsik.

93.157.0.142 - - [03/Nov/2012:16:01:19 -0500] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 13
72.167.164.72 - - [09/Nov/2012:02:02:54 -0500] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 13
74.55.205.98 - - [10/Nov/2012:03:06:49 -0500] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 404 13
150.217.19.5 - - [10/Nov/2012:14:36:52 -0500] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 13
173.201.39.105 - - [13/Nov/2012:08:16:35 -0500] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 404 13
74.55.205.98 - - [13/Nov/2012:14:43:28 -0500] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 13

Automatizálva bannolom is őket a levesbe....


#!bin/sh
#Kikeresi a scannerek IP címét a logból és berakja a dfind.ban és az anti-sec fájlba az iptables stringet
cat /var/log/apache2/access.log | grep "/w00tw00t.at.ISC.SANS.DFind" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > /home/neutr/scripts/dfind.ban

cat /var/log/apache2/access.log | grep "/w00tw00t.at.blackhats.romanian.anti-sec" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > /home/neutr/scripts/anti-sec.ban

#Futtatási jogot ad
chmod +x /home/neutr/scripts/dfind.ban
chmod +x /home/neutr/scripts/anti-sec.ban

#Futtatja
./dfind.ban
./anti-sec.ban

#Törli
rm -f dfind.ban
rm -f anti-sec.ban

Cronban minden éjfélkor lefuttatom:

* 0 * * * root cd /home/neutr/scripts && ./scanner.sh

Biztos van rá szebb megoldás is, de erre futotta. A hibája az, hogy 1 chain-t többször is betesz az iptablesbe. Erre még nem találtam megoldást. Esetleg van ötletetek?

Hozzászólások

Eddig 5 sor netto szabály van benne. A proxys is megy a levesbe, ne scanneljen. A fail2ban is ki fogja vágni a proxys scannereket, és ugyanott vagyok, csak az az neki pár próbálkozást mielőtt bebörtönzi.

-------------------------
127.0.0.1 SWEET 127.0.0.1
AMD Athlon X2 245E@3,1 GHz OC, MSI Radeon 6770 1 Gb GDDR5, Seagate Barracuda, Windows 7 Enterprise

a dilemma hasonlit ahhoz, mint amikor iptables-ben loggolod a droppolt csomagokat. Mukodik a dolog, de pl. egy udp flood-ot radengedve eleg hamar betelik a /var particiod. Ha meg csak egy /-od van, akkor nagyon tokon lotted magad.

Szoval en onnan fognam meg a dolgot, hogy tenyleg faj-e neked, ha valaki lekerdezi a /w00tw00t... URI-t? Szerintem - mivel valoszinuleg nincs ilyened - ez csak egy 404-es hiba az apache-tol, es kesz.

Ha publikus site-od van, kozerdeku infoval, pl. ceges honlap, akkor nagyon esznel kell lenni, ha cimeket akarsz kitiltani.

Ha meg valamilyen privat dolog, akkor arra ott van pl. a .htaccess vagy ha layer3-on akarod megoldani, akkor egy (a jelenlegi felallashoz kepest) inverz iptables szabalypar (ie. eloszor beengeded, akit kell, majd tiltod a vilagot).

Ennek ellenere lehetseges olyan szituacio, amikor blokkolni kell cimeket, halozatot, whatever, de megegyszer: nagyon esznel kell lenni, nehogy olyanokkal is ki..sszal, akikkel nem kene.

Miert kell nekem sajnalnom a Klubradiot?

Ezt nem értem. Egy IP-ről lekértek egy oldalt, nincs, 404, te meg kibannolod, mert amit lekertek az egy csűnya url. Gratulálok :)
--
HUPbeszolas FF extension

Itt a woot.woot stringgel rendelkező 404-es hibaüzenetes robotokat baszom ki, mivel ezt egy DFind nevű windowsos scanner használja, ami ismert fájlokat / sebezhetőségeket keres, pl setup.php, config.php.

Tehát az nem megy a levesbe, aki elgépelte az url-t...
-------------------------
127.0.0.1 SWEET 127.0.0.1
AMD Athlon X2 245E@3,1 GHz OC, MSI Radeon 6770 1 Gb GDDR5, Seagate Barracuda, Windows 7 Enterprise

Jobb félni, mint megijedni. Megelőzöm a bajt, hátha valami kint marad véletlen, aminek nem kéne... Meg ne is növelje a logot...
-------------------------
127.0.0.1 SWEET 127.0.0.1
AMD Athlon X2 245E@3,1 GHz OC, MSI Radeon 6770 1 Gb GDDR5, Seagate Barracuda, Windows 7 Enterprise

Először ennyi tudatosult a címből: Scannelnénke ... rosszfiúk. Gondoltam, fordulatokban nem túl gazdag, de tanulságos IT-novella(-próbálkozás) lehet, visszafogott humorral. Aztán végigolvastam a címet, nagyjából meg is értettem, és mondtam: jaah, biztos valami hülye szavazás. Ez sem talált. Scannelnénke viszont érdekes személyiség lehet. Nappal pulcsit kötöget, éjszakánkét pedig betöröget(ne, de ehelyett megy a levesbe (anyólé)).

:)

snort

Amit nem lehet megirni assemblyben, azt nem lehet megirni.