Lonesome Walker

Ich habe aktuell ein lustiges Projekt, wo ich nicht weiß, ob ich lachen oder weinen soll:
Serverbesitzer A ist bei Strato, hat dort einen eigenen Server.
Serverbesitzer A hat eine Abmahnung von Strato erhalten, weil mehrere Leute eine Abuse-Meldung geschickt haben, und auch deren managed Switch (angeblich) Unregelmäßigkeiten im Netzwerktraffic erkannt haben will.
Ergo ist Serverbesitzer A auch gleich ma der Zugang abgedreht worden, und er möge das doch beheben.

Nachdem ich jetzt 1,6 GB Logfiles für 3 Wochen Serverbetrieb durchforstet habe, steht für mich eines fest:
das RZ von Strato ist faul wie ein Karton stinkender Eier.

Der Server von Besitzer A wurde aus dem eigenen (Strato-)Rechenzentrum geknackt, daher auch das allzudicke Logfile.
Der Angreifer ging dabei ziemlich plump vor, da es ihm auch wirklich egal sein kann:
meiner Analyse zufolge besitzt er Zugriff auf ca. 100 Server bei Strato, alleine in dem Logfile fand ich 20.
Da ich selbst ja auch noch ein paar Server betreue, hat ein Cross-Check über Nacht gezeigt, daß speziell dieses Scan-Muster (ein sehr eindeutiges übrigens), noch mit ein paar anderen IP-Adressen zutage tritt.

Wenn ich jemand bei Strato wäre, würde ich mich da mal an einen Switch mit bissel Regex setzen, und dann wär das geritzt, denn die Abuse-Meldungen erhalten freundlicherweise ja immer Auszüge der Scans.

Lustig war die Abmahnung, die Strato da gesendet hat, denn da war was von SSH-Einbruchsversuchen die Rede.
Hier ging es „lediglich“ um Scans auf Apache-Directorys.
(wer SSH mit root oder ähnlich bösen Usernames offen hat, dem geschieht es recht)

Naja, mal sehen, was da jetzt draus wird…

So, ich hab ja schon ma geschrieben, daß ich Logfile-Analyse mache, weil man sonst ja den Server immer auf 100% fahren kann.
Nachdem ich jetzt IP’s gesammelt habe, und die entsprechenden Stellen angeschrieben habe (Abuse-Mail oder Owner selbst), aber bisher sehr wenig geantwortet/reagiert haben, hier eine kleine Sammlung an IP-Adressen, bereits copy&paste-freundlich für die Konsole…
iptables -A INPUT -s 217.199.188.149 -j DROP &&
iptables -A INPUT -s 88.191.67.60 -j DROP &&
iptables -A INPUT -s 221.8.79.168 -j DROP &&
iptables -A INPUT -s 85.114.135.29 -j DROP &&
iptables -A INPUT -s 74.53.83.10 -j DROP &&
iptables -A INPUT -s 208.109.125.157 -j DROP &&
iptables -A INPUT -s 212.71.159.239 -j DROP &&
iptables -A INPUT -s 216.180.243.50 -j DROP &&
iptables -A INPUT -s 199.72.118.62 -j DROP &&
iptables -A INPUT -s 85.14.218.218 -j DROP &&
iptables -A INPUT -s 202.157.139.51 -j DROP &&
iptables -A INPUT -s 202.144.157.157 -j DROP &&
iptables -A INPUT -s 202.105.178.15 -j DROP &&
iptables -A INPUT -s 78.106.142.105 -j DROP &&
iptables -A INPUT -s 216.240.132.119 -j DROP &&
iptables -A INPUT -s 218.208.50.164 -j DROP &&
iptables -A INPUT -s 219.94.169.84 -j DROP &&
iptables -A INPUT -s 207.226.165.186 -j DROP &&
iptables -A INPUT -s 82.195.154.96 -j DROP &&
iptables -A INPUT -s 209.62.31.194 -j DROP &&
iptables -A INPUT -s 213.193.223.44 -j DROP

Sollte ein Admin hier seine IP entdecken, so sollte er seinen Server mal auf mögliche Schwachstellen untersuchen, denn hier liste ich nur HTTP- und SSL-Brutforce, wenn dies über längere Zeit hinweg geschieht.

Sollte jemand auf der Suche nach einem günstigen Hoster sein, so kann ich empfehlen, mal bei Websitebaker Hosting vorbeizugucken.
Für ’nen Euro im Monat eine eigene Domain is schon billig.
(okay, für das Geld ist auch nur eine Mail-Adresse dabei, aber laut der Seite kann man dort anrufen, und individuell nachfragen)

Hm, soll ich umziehen? *g*