PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wurm-Connect



corlis
07.01.2006, 23:14
Einige haben sicherlich schon einmal von dem Versuch gehört, einen frisch installiertes Windows-XP-Rechner per DSL o.ä. einfach online zu stellen und nichts weiter zu tun, als zu warten, bis der erste Virus drauf landet. Einige haben diesen Versuch sogar selbst ausprobiert (dauerte bei mir ca. 17 Sekunden bis die erste Infektion geklappt hat, nach mehreren Minuten war das System nur noch als "irreparabel" zu bezeichnen).

Nun habe ich vor kurzem einen neuen Linux-Rechner in Betrieb genommen, mit einer relativ rigorosen Firewall ausgestattet - alles schön protokollierend. Logischerweise waren rel. schnell die ersten irregulären Connect-Versuche im Protokoll hinterlegt.

24 Stunden wurde das System eher unbeobachtet einfach laufen gelassen.

Nach 24 Stunden wurden die Logfiles genauer unter die Lupe genommen.

Ursprung von etwa 90% der Connects waren ausnahmslos Rechner des genutzten Providers, zumeist infizierte Windows-Kisten, aber auch Linuxrechner darunter. Das Prinzip der Connects deutet darauf, dass benachbarte Rechner/IPs infiziert werden sollten.

Die meisten connects versuchten, port 135 (Einer der Ports, die für das "Windows-Netzwerk" genutzt werden) zu erreichen.

Snort, so etwas wie eine Einbruchs-Alarmanlage, verzeichnete hauptsächlich Suchen nach unsicheren SQL-Datenbanken, aber auch einige ungewöhnlichere Einbruchsmethoden wurden aufgezeichnet.

Das Snort-Logfile war auf etwa 50 Megabyte angewachsen, das Logfile der Firewall erfasste Unmengen von Daten in einer fast Gigabyte-großen Datei.

Mit diesen Massen an Daten hatte ich nun wirklich nicht gerechnet. Vor der Aktion hatte ich mir noch gedacht, man könne die Daten dem Provider zur Verfügung stellen, und um (Ab)hilfe bitten, allerdings ergibt sich jetzt schon die Frage des Transports der Daten...

exe
08.01.2006, 15:32
Gute Dienste können hier auch Honeypots leisten. Ich habe erst kürzlich einen Artikel darüber gelesen, wie man mit einer solchen Lösung automatisch Exploits einsammelt und auswertet. Auf meinem Webserver logge ich seit ein paar Tagen gezielt die Angriffe welche auf dem Apache auflaufen mit. Das Ergebnis ist verwundert nicht. Allein auf dem Webserver wird ständig nach verwundbarer Software gesucht. Die aktuelle Liste der versuchten Exploits für verwundbare Software ist umfangreich. Die gesuchtesten drei sind:


PhpMyAdmin
XML-RPC
awstats

SNORT vermeldet hauptsächlich verdächtigen ICMP-Verkehr und Angriffe auf MS-SQL-Server. Könnte aber am etwas mageren Rule-Set des SNORT liegen. Das Hintergrundrauschen des Internets ist mittlerweile doch sehr massiv. :/

Sirius
08.01.2006, 15:57
Die meisten connects versuchten, port 135 (Einer der Ports, die für das "Windows-Netzwerk" genutzt werden) zu erreichen.Bei mir ist die Aktivität auf Port 445 fast genauso hoch. An dritter Stelle kommt Port 6348.
Die meisten Angriffe kommen auch hier aus dem Netz meines Providers.

Laut sans.org ist derzeit die Aktivität auf Port 445 im gesamten Internet sogar fast doppelt so hoch wie auf Port 135:
Monitor: Port 135 (http://isc.sans.org/port_details.php?port=135&repax=1&tarax=2&srcax=2&percent=N&days=40)
Monitor: Port 445 (http://isc.sans.org/port_details.php?port=445&repax=1&tarax=2&srcax=2&percent=N&days=40)
Monitor: Port 6348 (http://isc.sans.org/port_details.php?port=6348&repax=1&tarax=2&srcax=2&percent=N&days=40)


Das Snort-Logfile war auf etwa 50 Megabyte angewachsen, das Logfile der Firewall erfasste Unmengen von Daten in einer fast Gigabyte-großen Datei.

Mit diesen Massen an Daten hatte ich nun wirklich nicht gerechnet. Vor der Aktion hatte ich mir noch gedacht, man könne die Daten dem Provider zur Verfügung stellen, und um (Ab)hilfe bitten, allerdings ergibt sich jetzt schon die Frage des Transports der Daten...Du solltest den "Verbose-Level" reduzieren oder die Daten per sed/awk reduzieren. Die Angabe von IP, Port und Uhrzeit sollte eigentlich reichen.

Ob sich der Provider für die Daten interessiert, ist eine andere Sache...

Stalker2002
08.01.2006, 18:22
Bei mir ist die Aktivität auf Port 445 fast genauso hoch. An dritter Stelle kommt Port 6348.

Das gebrumme auf Port 6348 muß nicht unbedingt offensiver Natur sein. Das ist ein Standard-Port für Gnutella (P2P), so das man auf diesem Port, nach einem IP-Wechsel, öfter mal mit Traffic belästigt wird, der für den vorherigen Inhaber der IP-Adresse gedacht war. Typischer P2P-Echo-Traffic eben...

MfG
L.

Sirius
08.01.2006, 18:52
Das ist ein Standard-Port für Gnutella (P2P), so das man auf diesem Port, nach einem IP-Wechsel, öfter mal mit Traffic belästigt wird, der für den vorherigen Inhaber der IP-Adresse gedacht war.Schon möglich. Ich habe allerdings eine DSL-Standleitung. Da wird nach 24h einmal kurz getrennt. Wieso bekomme immer ich die "verdreckten" Leitungen?
(Oft bekomme ich auch dieselbe IP wieder.)

Und P2P ist ja bekannt als Wurm-Schleuder.

corlis
08.01.2006, 20:13
Das bekannte P2P-"Hintergrundrauschen" habe ich in der kurzen Analyse eher vernachlässigt, weshalb ich die bekannten Ports (6881, 4662, usw) erst gar nicht in eine Auswertung mit einfliessen habe lassen.

Die Idee mit dem honeypot werde ich jetzt wohl tatsächlich mal nutzen, um so längerfristig zu erfahren, wo die Angriffsschwerpunkte liegen.

Bisher habe ich nur Stichprobenartig analysiert, werde im Laufe der nächsten Woche allerdings noch verstärkter und genauer hinschauen.