Recopilación automática de hosts pirateados e informes al administrador del dominio / sitio

Question

Recopilación automática de hosts pirateados e informes al administrador del dominio / sitio

#1 de jeffatrackaid (2 votos)
#2 de dr jimbob (0 votos)

4

Con tantos ataques de Internet, creo que sería conveniente (y más rápido y sensato) si hubiera una forma de recolectar automáticamente los hosts pirateados que se usan para lanzar ataques / sondas de Internet. Por ejemplo, un host SSH podría instalar DenyHosts y / o implementar hosts.deny. A partir de los datos de autenticación fallidos, podemos recopilar todas las direcciones IP de esos hosts y, de forma automática (o semiautomáticamente, si es mejor) informar a los administradores del sitio que sus máquinas han sido pirateadas. ¿Hay alguna herramienta o servicio en línea así? Esto permitiría aplastar las máquinas pirateadas de manera rápida.

Esto sería análogo a spamcop.net para spam. Pero ahora hay muchos más trucos e intentos, no tiene sentido enviar los administradores del sitio manualmente.

network incident-response

pregunta AviD 19.12.2011 - 19:40

fuente

2 respuestas

Lea otras preguntas en las etiquetas network incident-response

¿Por qué el ARCHIVO DE CARGA DE MYSQL solo lee algunos archivos y no otros? ¿Qué algoritmos pueden usarse para emparejar dispositivos?

score 2 · Answer 1

Es posible que desee consultar enlace

Han estado proporcionando este tipo de servicio desde hace bastante tiempo. Puede integrarse con firewalls, envolturas tcp u otros métodos.

Por mi parte, no encuentro este enfoque demasiado útil para la seguridad. Encuentro que los métodos basados en la anomalía y el comportamiento proporcionan mejores resultados con menos complicaciones.

score 0 · Answer 2

El problema con su solución propuesta es que no confío en la lista negra de IP de otra persona que no puedo verificar de forma independiente de alguna manera.

Digamos que existe un sistema en el que puede informar a una base de datos común de servidores que ejecutan scripts que intentan romper en ssh con nombres de usuario / contraseñas comunes.

Los administradores del sistema envían partes de registros como /var/log/auth.log :

Feb  4 09:15:04 quarkonia sshd[12414]: Invalid user webadmin from 129.2.145.XXX
Feb  4 09:15:04 quarkonia sshd[12414]: pam_unix(sshd:auth): check pass; user unknown
Feb  4 09:15:04 quarkonia sshd[12414]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.student.umd.edu 
Feb  4 09:15:07 quarkonia sshd[12414]: Failed password for invalid user webadmin from 129.2.145.XXX port 39505 ssh2

y luego la dirección IP 129.2.145.XXX se agrega a la lista negra común. Pero sería bastante trivial enviar registros falsos con las direcciones IP de los usuarios que está intentando hacer DoS; evitar que los usuarios legítimos inicien sesión usando ssh en los servidores que se suscriben a esta lista negra.

Esto es ligeramente diferente a decir que informar a hacer un whois en 129.2.145.XXX

OrgAbuseHandle: UARA-ARIN
OrgAbuseName:   UMD Abuse Role Account
OrgAbusePhone:  +1-301-405-8787 
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    http://whois.arin.net/rest/poc/UARA-ARIN

para encontrar el contacto abusivo y decir que la dirección IP 129.2.145.XXX parece ejecutar scripts que intentan entrar en las máquinas a través de ssh.

Un administrador del sistema puede analizar el problema, posiblemente (a) encontrando un sistema comprometido bajo el control de un pirata informático remoto (y luego eliminar el malware; por ejemplo, reinstalar el sistema operativo), (b) un script para niños que no lo hace No sé qué están haciendo al tratar de ingresar en sitios aleatorios (y amenazar con acciones legales para detener al niño) o (c) nada después de una investigación rápida e ignorar la falsa alarma.

Hay listas negras de los bloques de direcciones IP asignadas a países donde esto es más rampante (China, Rusia, Nigeria , Europa del Este) y es posible que nunca tenga que iniciar sesión en su servidor. Personalmente, ejecutaría whois en todos ellos para volver a verificar, si tuviera que hacer este método; y asegúrese de que esté bien para que su sitio web / servidor ssh bloquee todo el tráfico de esos países; y no se preocupe por el raro evento de que los bloques de IP se reasignen a un región diferente .

Pero simplemente tiendo a bloquear el número de los Usuarios Permitidos en ssh a uno, cambiar el puerto ssh (sí, seguridad por oscuridad) a otra cosa por debajo de 1023 (por lo que solo la raíz podría controlar el puerto), evitar el escaneo del puerto con un psad , mitigó los ataques automatizados con fail2ban y usando una frase de contraseña complicada (normalmente a través de la clave ssh).