corlis
07.01.2006, 23:14
Einige haben sicherlich schon einmal von dem Versuch gehört, einen frisch installiertes Windows-XP-Rechner per DSL o.ä. einfach online zu stellen und nichts weiter zu tun, als zu warten, bis der erste Virus drauf landet. Einige haben diesen Versuch sogar selbst ausprobiert (dauerte bei mir ca. 17 Sekunden bis die erste Infektion geklappt hat, nach mehreren Minuten war das System nur noch als "irreparabel" zu bezeichnen).
Nun habe ich vor kurzem einen neuen Linux-Rechner in Betrieb genommen, mit einer relativ rigorosen Firewall ausgestattet - alles schön protokollierend. Logischerweise waren rel. schnell die ersten irregulären Connect-Versuche im Protokoll hinterlegt.
24 Stunden wurde das System eher unbeobachtet einfach laufen gelassen.
Nach 24 Stunden wurden die Logfiles genauer unter die Lupe genommen.
Ursprung von etwa 90% der Connects waren ausnahmslos Rechner des genutzten Providers, zumeist infizierte Windows-Kisten, aber auch Linuxrechner darunter. Das Prinzip der Connects deutet darauf, dass benachbarte Rechner/IPs infiziert werden sollten.
Die meisten connects versuchten, port 135 (Einer der Ports, die für das "Windows-Netzwerk" genutzt werden) zu erreichen.
Snort, so etwas wie eine Einbruchs-Alarmanlage, verzeichnete hauptsächlich Suchen nach unsicheren SQL-Datenbanken, aber auch einige ungewöhnlichere Einbruchsmethoden wurden aufgezeichnet.
Das Snort-Logfile war auf etwa 50 Megabyte angewachsen, das Logfile der Firewall erfasste Unmengen von Daten in einer fast Gigabyte-großen Datei.
Mit diesen Massen an Daten hatte ich nun wirklich nicht gerechnet. Vor der Aktion hatte ich mir noch gedacht, man könne die Daten dem Provider zur Verfügung stellen, und um (Ab)hilfe bitten, allerdings ergibt sich jetzt schon die Frage des Transports der Daten...
Nun habe ich vor kurzem einen neuen Linux-Rechner in Betrieb genommen, mit einer relativ rigorosen Firewall ausgestattet - alles schön protokollierend. Logischerweise waren rel. schnell die ersten irregulären Connect-Versuche im Protokoll hinterlegt.
24 Stunden wurde das System eher unbeobachtet einfach laufen gelassen.
Nach 24 Stunden wurden die Logfiles genauer unter die Lupe genommen.
Ursprung von etwa 90% der Connects waren ausnahmslos Rechner des genutzten Providers, zumeist infizierte Windows-Kisten, aber auch Linuxrechner darunter. Das Prinzip der Connects deutet darauf, dass benachbarte Rechner/IPs infiziert werden sollten.
Die meisten connects versuchten, port 135 (Einer der Ports, die für das "Windows-Netzwerk" genutzt werden) zu erreichen.
Snort, so etwas wie eine Einbruchs-Alarmanlage, verzeichnete hauptsächlich Suchen nach unsicheren SQL-Datenbanken, aber auch einige ungewöhnlichere Einbruchsmethoden wurden aufgezeichnet.
Das Snort-Logfile war auf etwa 50 Megabyte angewachsen, das Logfile der Firewall erfasste Unmengen von Daten in einer fast Gigabyte-großen Datei.
Mit diesen Massen an Daten hatte ich nun wirklich nicht gerechnet. Vor der Aktion hatte ich mir noch gedacht, man könne die Daten dem Provider zur Verfügung stellen, und um (Ab)hilfe bitten, allerdings ergibt sich jetzt schon die Frage des Transports der Daten...