/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Illegal ssh login forsøg
Fra : Jørn Hundebøll


Dato : 01-09-04 23:30

Jeg kan i min log konstatere at jeg får en del forskellige forsøg på at
logge ind på min server via ssh. Det sjove er at de prøver på brugeren
root, user, test, admin og guest - hvoraf root er den eneste bruger en
Linux normalt har.

1) Er det en orm som forsøger eller et menneske ?
2) Kan man logge de forsøg på passwd som de forsøger med (Linux 2.6)
3) Kan man sætte op, at root ikke kan logge ind direkte via ssh ?
4) Er der andre som i de sidste par uger har set lignende tendenser ?

Jørn

 
 
Alex Holst (01-09-2004)
Kommentar
Fra : Alex Holst


Dato : 01-09-04 23:38

Jørn Hundebøll wrote:
> 1) Er det en orm som forsøger eller et menneske ?

Det er nok et automatisk vaerktoej startet af et menneske. Det er
normalt en Linux maskine i den anden ende, hvor telnet er aktiveret.

> 2) Kan man logge de forsøg på passwd som de forsøger med (Linux 2.6)

Kun ved at patche sshd.

> 3) Kan man sætte op, at root ikke kan logge ind direkte via ssh ?

Er du serioes? Det er beskrevet i man-siden til sshd_config.

> 4) Er der andre som i de sidste par uger har set lignende tendenser ?

Jeg har set det adskellige gange om ugen de sidste 3-4 maaneder.

   http://a.mongers.org/muppets/20040808-sshscan-1

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Jørn Hundebøll (02-09-2004)
Kommentar
Fra : Jørn Hundebøll


Dato : 02-09-04 14:20

Alex Holst wrote:
> Jørn Hundebøll wrote:
>
>> 1) Er det en orm som forsøger eller et menneske ?
>
>
> Det er nok et automatisk vaerktoej startet af et menneske. Det er
> normalt en Linux maskine i den anden ende, hvor telnet er aktiveret.

Den med telnet forstår jeg ikke helt - du mener "han" som forsøger at
logge ind har en telnet kørende ell hva ?




>
>> 4) Er der andre som i de sidste par uger har set lignende tendenser ?
>
>
> Jeg har set det adskellige gange om ugen de sidste 3-4 maaneder.
>
> http://a.mongers.org/muppets/20040808-sshscan-1
>

Det er bare lidt sjovt at de typisk kun forsøge 2-3 gange med hvert
brugernavn - og at de vælger brugernavne som typisk aldrig eksistere på
en Linux box. Hvem har en guest, test, user, admin shell bruger ??

Jørn

Anders Lund (02-09-2004)
Kommentar
Fra : Anders Lund


Dato : 02-09-04 14:45

Jørn Hundebøll wrote:

> Alex Holst wrote:
>
>>normalt en Linux maskine i den anden ende, hvor telnet er aktiveret.
>
> Den med telnet forstår jeg ikke helt - du mener "han" som forsøger at
> logge ind har en telnet kørende ell hva ?

Måske menes der at det er en Linux maskine med telnet, som er blevet
"hacket" og nu har et program kørende som prøver at komme ind på
forskellige bokse rundt omkring.

--
Anders Lund - anders@andersonline.dk

Alex Holst (06-09-2004)
Kommentar
Fra : Alex Holst


Dato : 06-09-04 15:55

Alex Holst wrote:
> http://a.mongers.org/muppets/20040808-sshscan-1

Siden er opdateret med nogle links til relevante email threads.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Adam Sjøgren (01-09-2004)
Kommentar
Fra : Adam Sjøgren


Dato : 01-09-04 23:39

On Thu, 02 Sep 2004 00:30:22 +0200, Jørn wrote:

> 3) Kan man sætte op, at root ikke kan logge ind direkte via ssh ?

$ grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin no
$

Se sshd_config(5).

> Er der andre som i de sidste par uger har set lignende tendenser ?

test, guest, admin, user, root har jeg fået forsøg forskellige steder
fra, siger auth.log.


Mvh.

--
"You know, I *thought* earth's gravity felt Adam Sjøgren
exceptionally strong today." asjo@koldfront.dk

Jørn Hundebøll (02-09-2004)
Kommentar
Fra : Jørn Hundebøll


Dato : 02-09-04 14:22

Adam Sjøgren wrote:
> On Thu, 02 Sep 2004 00:30:22 +0200, Jørn wrote:
>
>
>>3) Kan man sætte op, at root ikke kan logge ind direkte via ssh ?
>
>
> $ grep PermitRootLogin /etc/ssh/sshd_config
> PermitRootLogin no
> $
>
> Se sshd_config(5).

Også lige en genstart af sshd bagefter - takker !


>
>
>>Er der andre som i de sidste par uger har set lignende tendenser ?
>
>
> test, guest, admin, user, root har jeg fået forsøg forskellige steder
> fra, siger auth.log.

Du er ikke alene

Jørn

Michael Rasmussen (01-09-2004)
Kommentar
Fra : Michael Rasmussen


Dato : 01-09-04 23:39

Jørn Hundebøll <spamnews2@dblue.dk> wrote:

>Jeg kan i min log konstatere at jeg får en del forskellige forsøg på at
>logge ind på min server via ssh. Det sjove er at de prøver på brugeren
>root, user, test, admin og guest - hvoraf root er den eneste bruger en
>Linux normalt har.

Jep - Jeg oplever eksakt det samme på min Linux boks.

Det er så systematisk at det må være en orm

<mlr>



Niels Callesøe (01-09-2004)
Kommentar
Fra : Niels Callesøe


Dato : 01-09-04 23:52

Jørn Hundebøll wrote in <news:34sZc.2197$WX4.1869@news.get2net.dk>:

> 4) Er der andre som i de sidste par uger har set lignende tendenser ?

Ja, flere gange. Det har også været nævnt i en eller anden sikkerheds-
blog... SANS, så vidt jeg husker.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

First rule of Cuddle Club: no dry humping!

Mikael Hansen (02-09-2004)
Kommentar
Fra : Mikael Hansen


Dato : 02-09-04 07:32

Jørn Hundebøll wrote:
> Jeg kan i min log konstatere at jeg får en del forskellige forsøg på at
> logge ind på min server via ssh. Det sjove er at de prøver på brugeren
> root, user, test, admin og guest - hvoraf root er den eneste bruger en
> Linux normalt har.

<snip>

> 4) Er der andre som i de sidste par uger har set lignende tendenser ?

Ja, faktisk kort efter du postede dette spørgsmål


Sep 2 00:37:24 SimbaFTP sshd[2578]: Illegal user test from 62.50.74.178
Sep 2 00:37:25 SimbaFTP sshd[2580]: Illegal user guest from 62.50.74.178
Sep 2 00:37:26 SimbaFTP sshd[2582]: Illegal user admin from 62.50.74.178
Sep 2 00:37:27 SimbaFTP sshd[2584]: Illegal user admin from 62.50.74.178
Sep 2 00:37:27 SimbaFTP sshd[2586]: Illegal user user from 62.50.74.178
Sep 2 00:37:28 SimbaFTP sshd(pam_unix)[2588]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=62.50.74.178 user=root
Sep 2 00:37:31 SimbaFTP sshd[2588]: Failed password for root from
62.50.74.178 port 58570 ssh2
Sep 2 00:37:32 SimbaFTP sshd(pam_unix)[2590]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=62.50.74.178 user=root
Sep 2 00:37:34 SimbaFTP sshd[2590]: Failed password for root from
62.50.74.178 port 59025 ssh2
Sep 2 00:37:35 SimbaFTP sshd(pam_unix)[2592]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=62.50.74.178 user=root
Sep 2 00:37:37 SimbaFTP sshd[2592]: Failed password for root from
62.50.74.178 port 59644 ssh2
Sep 2 00:37:38 SimbaFTP sshd[2594]: Illegal user test from 62.50.74.178
Sep 2 00:40:15 SimbaFTP sshd[2604]: Illegal user test from 62.50.74.178
Sep 2 00:40:16 SimbaFTP sshd[2606]: Illegal user guest from 62.50.74.178
Sep 2 00:40:16 SimbaFTP sshd[2608]: Illegal user admin from 62.50.74.178
Sep 2 00:40:17 SimbaFTP sshd[2610]: Illegal user admin from 62.50.74.178
Sep 2 00:40:18 SimbaFTP sshd[2612]: Illegal user user from 62.50.74.178
Sep 2 00:40:19 SimbaFTP sshd(pam_unix)[2614]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=62.50.74.178 user=root
Sep 2 00:40:21 SimbaFTP sshd[2614]: Failed password for root from
62.50.74.178 port 56081 ssh2
Sep 2 00:40:22 SimbaFTP sshd(pam_unix)[2616]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=62.50.74.178 user=root
Sep 2 00:40:24 SimbaFTP sshd[2616]: Failed password for root from
62.50.74.178 port 56725 ssh2
Sep 2 00:40:25 SimbaFTP sshd(pam_unix)[2618]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=62.50.74.178 user=root
Sep 2 00:40:28 SimbaFTP sshd[2618]: Failed password for root from
62.50.74.178 port 57363 ssh2
Sep 2 00:40:29 SimbaFTP sshd[2620]: Illegal user test from 62.50.74.178

m.v.h. Mikael


Jacob Bunk Nielsen (02-09-2004)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 02-09-04 14:29

Jørn Hundebøll <spamnews2@dblue.dk> writes:

> Det er bare lidt sjovt at de typisk kun forsøge 2-3 gange med hvert
> brugernavn - og at de vælger brugernavne som typisk aldrig eksistere på
> en Linux box. Hvem har en guest, test, user, admin shell bruger ??

admin findes på de der Cobalt RaQ-dimser. I hvert fald den jeg
(desværre) har stående på arbejdet. De har dog ikke sshd som standard.

--
Jacob - www.bunk.cc
Nostalgia isn't what it used to be.

Jørn Hundebøll (02-09-2004)
Kommentar
Fra : Jørn Hundebøll


Dato : 02-09-04 14:37

Jacob Bunk Nielsen wrote:
> Jørn Hundebøll <spamnews2@dblue.dk> writes:
>
>
>>Det er bare lidt sjovt at de typisk kun forsøge 2-3 gange med hvert
>>brugernavn - og at de vælger brugernavne som typisk aldrig eksistere på
>>en Linux box. Hvem har en guest, test, user, admin shell bruger ??
>
>
> admin findes på de der Cobalt RaQ-dimser. I hvert fald den jeg
> (desværre) har stående på arbejdet. De har dog ikke sshd som standard.
>

Kører de Linux ?

Men en bruger som hedder "user" eller en af de øvrige - de findes vel
næppe på 1 ud af 50 maskiner - ville gætte på det var mere "effektivt"
at prøve med flere forskellig passwords på root kontoen end at satse på
disse underligere brugere.

Jeg har ikke kunne finde ud af om de maskiner som forsøge "hacking"
kører Windows eller Linux endnu - jeg hælder mest til det er en orm på
en Windows maskine.

Jørn

Peter Jensen (02-09-2004)
Kommentar
Fra : Peter Jensen


Dato : 02-09-04 15:37

Jørn Hundebøll wrote:

> Jeg har ikke kunne finde ud af om de maskiner som forsøge "hacking"
> kører Windows eller Linux endnu - jeg hælder mest til det er en orm på
> en Windows maskine.

Det minder lidt om den måde brutessh virker på. Den scanner dog
tusindvis af passwords. Kan det tænkes at logging funktionen dropper at
registrere nogle angreb for at undgå DoS ved opfyldning af log-filen?
Jeg har ikke umiddelbart nogen grund til at tro at det er Windows
maskiner. Mindst to af angriberne i min log havde en åben ssh port, og
det er jo ikke helt typisk for Windows. nmap's OS scan viste specifikt
den ene som en eller anden Linux, mens den anden tilsyneladende var bag
en load balancer. Det ser også ud til at skanningerne kommer fra det
meste af verdenen. På min maskine har det været fra Italien,
Grækenland, Hong Kong, Kina og Iran inden for den sidste uge.

Det er ikke rigtigt noget at gøre ved det. Jeg ser det ikke som
ulovligt at udføre den slags skanninger, og selv om det var, så er der
nok ikke store chancer for at jeg kan få mobiliseret det Iranske politi.
Jeg synes dog at skanningerne er lidt suspekte. Jeg overvejer at
opsætte en honeypot med et simpelt password og en chroot, bare for at se
hvad deres næste træk ville være.

I mellemtiden har jeg ret stor tillid til mine egne passwords (som
sjældent bruges direkte), og root har heller ikke lov at logge direkte
ind.

--
PeKaJe

Put a rogue in the limelight and he will act like an honest man.
      -- Napoleon Bonaparte, "Maxims"

Jørn Hundebøll (02-09-2004)
Kommentar
Fra : Jørn Hundebøll


Dato : 02-09-04 16:31

Peter Jensen wrote:
> Jørn Hundebøll wrote:
>
>
>>Jeg har ikke kunne finde ud af om de maskiner som forsøge "hacking"
>>kører Windows eller Linux endnu - jeg hælder mest til det er en orm på
>>en Windows maskine.
>
>
> Det minder lidt om den måde brutessh virker på. Den scanner dog
> tusindvis af passwords. Kan det tænkes at logging funktionen dropper at
> registrere nogle angreb for at undgå DoS ved opfyldning af log-filen?
> Jeg har ikke umiddelbart nogen grund til at tro at det er Windows
> maskiner. Mindst to af angriberne i min log havde en åben ssh port, og
> det er jo ikke helt typisk for Windows. nmap's OS scan viste specifikt
> den ene som en eller anden Linux, mens den anden tilsyneladende var bag
> en load balancer. Det ser også ud til at skanningerne kommer fra det
> meste af verdenen. På min maskine har det været fra Italien,
> Grækenland, Hong Kong, Kina og Iran inden for den sidste uge.

Som sagt var en Windows orm orgså kun mit gæt - men du har lidt bedre
understøttelse af dit gæt.

>
> Det er ikke rigtigt noget at gøre ved det. Jeg ser det ikke som
> ulovligt at udføre den slags skanninger, og selv om det var, så er der
> nok ikke store chancer for at jeg kan få mobiliseret det Iranske politi.
> Jeg synes dog at skanningerne er lidt suspekte. Jeg overvejer at
> opsætte en honeypot med et simpelt password og en chroot, bare for at se
> hvad deres næste træk ville være.

Er det enkelt at gøre - kan man evt. på en enkel måde se hvilke
passwords der gættes på - for at se om de er tæt på eller ej. Jeg mener
selv mit password er godt nok.


Jørn

Peter Jensen (02-09-2004)
Kommentar
Fra : Peter Jensen


Dato : 02-09-04 17:23

Jørn Hundebøll wrote:

>> Det er ikke rigtigt noget at gøre ved det. Jeg ser det ikke som
>> ulovligt at udføre den slags skanninger, og selv om det var, så er
>> der nok ikke store chancer for at jeg kan få mobiliseret det Iranske
>> politi. Jeg synes dog at skanningerne er lidt suspekte. Jeg
>> overvejer at opsætte en honeypot med et simpelt password og en
>> chroot, bare for at se hvad deres næste træk ville være.
>
> Er det enkelt at gøre

Umiddelbart er det nemt nok at sætte en honeypot op hvis man har en
ekstra maskine til det. At lave et chroot jail som de logger ind på
kræver dog noget mere omtanke.

> kan man evt. på en enkel måde se hvilke passwords der gættes på - for
> at se om de er tæt på eller ej.

Hmm ... Enkelt er det ikke, men det er muligt at lave sin egen
tilføjelse til sshd programmet så den logger alle passwords. Jeg ville
dog aldrig køre den slags på andet end en honeypot. I weekenden tror
jeg lige jeg vil sætte sådan noget op på min test-maskine for at se
hvilke passwords de typisk bruger.

> Jeg mener selv mit password er godt nok.

Hvis det har mere end 8-9 tegn, ikke findes i nogen ordbog, ikke kan
sammenstykkes af et par ord fra en ordbog, og der også er et par tal
indblandet, så er det formentligt sikkert nok. Skift det dog alligevel
fra tid til anden.

--
PeKaJe

"Right now I'm having amnesia and deja vu at the same time."
      -- Steven Wright

Jørn Hundebøll (02-09-2004)
Kommentar
Fra : Jørn Hundebøll


Dato : 02-09-04 21:04

Peter Jensen wrote:
> Jørn Hundebøll wrote:
>
>
> Umiddelbart er det nemt nok at sætte en honeypot op hvis man har en
> ekstra maskine til det. At lave et chroot jail som de logger ind på
> kræver dog noget mere omtanke.

Jeg har allerede en testmaskine kørende bagved som jeg kunne pege port
22 til. En honeypot betyder det blot at "de" får adgang til maskinen -
eller skal der noget specielt logning aktiveres. Du må gerne komme med
lidt mere info om hvordan man gør det - evt. links- synes ikke lige jeg
kan finde det helt rigtige på google.


>
>
>>kan man evt. på en enkel måde se hvilke passwords der gættes på - for
>>at se om de er tæt på eller ej.
>
>
> Hmm ... Enkelt er det ikke, men det er muligt at lave sin egen
> tilføjelse til sshd programmet så den logger alle passwords. Jeg ville
> dog aldrig køre den slags på andet end en honeypot. I weekenden tror
> jeg lige jeg vil sætte sådan noget op på min test-maskine for at se
> hvilke passwords de typisk bruger.
>


Gad du sende en udgave af sshd som kan logge passwords - så jeg ikke
selv skal igang. Min adresse her på news er fungerende men du kan skrive
efter en lidt mere privat adresse.

Jørn



Alex Holst (03-09-2004)
Kommentar
Fra : Alex Holst


Dato : 03-09-04 16:48

Jørn Hundebøll wrote:
> Jeg har allerede en testmaskine kørende bagved som jeg kunne pege port
> 22 til. En honeypot betyder det blot at "de" får adgang til maskinen -
> eller skal der noget specielt logning aktiveres.

Stop. Hvis du ikke har totalt styr paa din UNIX, og ved nok til at du
*ikke* behoever spoerge hvad en honeypot er, vil jeg staerkt fraraade at
lege med den slags. Det kraever stor erfaring at overskue de tekniske og
juridiske konsekvenser.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Jørn Hundebøll (05-09-2004)
Kommentar
Fra : Jørn Hundebøll


Dato : 05-09-04 17:11

Alex Holst wrote:
> Jørn Hundebøll wrote:
>
>> Jeg har allerede en testmaskine kørende bagved som jeg kunne pege port
>> 22 til. En honeypot betyder det blot at "de" får adgang til maskinen -
>> eller skal der noget specielt logning aktiveres.
>
>
> Stop. Hvis du ikke har totalt styr paa din UNIX, og ved nok til at du
> *ikke* behoever spoerge hvad en honeypot er, vil jeg staerkt fraraade at
> lege med den slags. Det kraever stor erfaring at overskue de tekniske og
> juridiske konsekvenser.
>

Jeg er meget intersseret i at lære mere, og det er vel også lidt af
formålet med denne gruppe. Det er klart at hvis der direkte er så svære
elementer i at sætte det op og drive det, vil jeg nok undlade - da Unix
ikke er min levevej.

Men hvilke juridiske aspekter kan der være ved at overvåge hvem som
hacker sig ind på min maskine - kan du nævne et par spørgsmål i den
sammenhæng ?

Jørn

Kent Friis (05-09-2004)
Kommentar
Fra : Kent Friis


Dato : 05-09-04 18:42

Den Sun, 05 Sep 2004 18:10:42 +0200 skrev Jørn Hundebøll:
> Alex Holst wrote:
>> Jørn Hundebøll wrote:
>>
>>> Jeg har allerede en testmaskine kørende bagved som jeg kunne pege port
>>> 22 til. En honeypot betyder det blot at "de" får adgang til maskinen -
>>> eller skal der noget specielt logning aktiveres.
>>
>>
>> Stop. Hvis du ikke har totalt styr paa din UNIX, og ved nok til at du
>> *ikke* behoever spoerge hvad en honeypot er, vil jeg staerkt fraraade at
>> lege med den slags. Det kraever stor erfaring at overskue de tekniske og
>> juridiske konsekvenser.
>>
>
> Jeg er meget intersseret i at lære mere, og det er vel også lidt af
> formålet med denne gruppe. Det er klart at hvis der direkte er så svære
> elementer i at sætte det op og drive det, vil jeg nok undlade - da Unix
> ikke er min levevej.

Et honeypot er ikke måden at lære på, det er noget man begynder på når
man har styr på tingene.

> Men hvilke juridiske aspekter kan der være ved at overvåge hvem som
> hacker sig ind på min maskine - kan du nævne et par spørgsmål i den
> sammenhæng ?

Prøv at forestille dig at nogen får adgang til din honey-pot maskine -
du opdager det måske ikke engang. De bruger så din maskine til at
angribe national-banken, og får med held overført et par hundrede
millioner til en konto i Schweiz, før de sletter alle spor efter at
de har været inde på maskinen, men ikke programmet der blev brugt
til angrebet. Tre dage senere kommer politiet forbi og kigger nærmere
på maskinen... Du står som hovedmistænkt, og du har et forklarings-
problem. Alternativ mulighed: I stedet for at angribe national-banken,
skjuler de et par gigabyte børneporno på maskinen. Igen sletter de
sporene efter at de overhovedet har været på maskinen...

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Jørn Hundebøll (06-09-2004)
Kommentar
Fra : Jørn Hundebøll


Dato : 06-09-04 18:37

Kent Friis wrote:
> Den Sun, 05 Sep 2004 18:10:42 +0200 skrev Jørn Hundebøll:
>
>>Alex Holst wrote:
>>
>>>Jørn Hundebøll wrote:
>>>
>>>
>>>>Jeg har allerede en testmaskine kørende bagved som jeg kunne pege port
>>>>22 til. En honeypot betyder det blot at "de" får adgang til maskinen -
>>>>eller skal der noget specielt logning aktiveres.
>>>
>>>
>>>Stop. Hvis du ikke har totalt styr paa din UNIX, og ved nok til at du
>>>*ikke* behoever spoerge hvad en honeypot er, vil jeg staerkt fraraade at
>>>lege med den slags. Det kraever stor erfaring at overskue de tekniske og
>>>juridiske konsekvenser.
>>>
>>
>>Jeg er meget intersseret i at lære mere, og det er vel også lidt af
>>formålet med denne gruppe. Det er klart at hvis der direkte er så svære
>>elementer i at sætte det op og drive det, vil jeg nok undlade - da Unix
>>ikke er min levevej.
>
>
> Et honeypot er ikke måden at lære på, det er noget man begynder på når
> man har styr på tingene.

Jeg har leget med Linux siden 93, så almindelig administration og drift
føler jeg mig rimelig sikker i. Det er honeypot som er nyt for mig, og
som alternativ til at skulle rette i sshd, ville jeg se om det var en
mulighed for at overvåge hvad folk ville anvende min maskine til.


>
>
>>Men hvilke juridiske aspekter kan der være ved at overvåge hvem som
>>hacker sig ind på min maskine - kan du nævne et par spørgsmål i den
>>sammenhæng ?
>
>
> Prøv at forestille dig at nogen får adgang til din honey-pot maskine -
> du opdager det måske ikke engang. De bruger så din maskine til at
> angribe national-banken, og får med held overført et par hundrede
> millioner til en konto i Schweiz, før de sletter alle spor efter at
> de har været inde på maskinen, men ikke programmet der blev brugt
> til angrebet. Tre dage senere kommer politiet forbi og kigger nærmere
> på maskinen... Du står som hovedmistænkt, og du har et forklarings-
> problem. Alternativ mulighed: I stedet for at angribe national-banken,
> skjuler de et par gigabyte børneporno på maskinen. Igen sletter de
> sporene efter at de overhovedet har været på maskinen...
>

Samme problemstilling gælder for alle maskiner - der er en honeypot vel
næppe særlig "særlig".

Jørn

Kent Friis (06-09-2004)
Kommentar
Fra : Kent Friis


Dato : 06-09-04 21:19

Den Mon, 06 Sep 2004 19:37:14 +0200 skrev Jørn Hundebøll:
> Kent Friis wrote:
>> Den Sun, 05 Sep 2004 18:10:42 +0200 skrev Jørn Hundebøll:
>>
>>>Men hvilke juridiske aspekter kan der være ved at overvåge hvem som
>>>hacker sig ind på min maskine - kan du nævne et par spørgsmål i den
>>>sammenhæng ?
>>
>>
>> Prøv at forestille dig at nogen får adgang til din honey-pot maskine -
>> du opdager det måske ikke engang. De bruger så din maskine til at
>> angribe national-banken, og får med held overført et par hundrede
>> millioner til en konto i Schweiz, før de sletter alle spor efter at
>> de har været inde på maskinen, men ikke programmet der blev brugt
>> til angrebet. Tre dage senere kommer politiet forbi og kigger nærmere
>> på maskinen... Du står som hovedmistænkt, og du har et forklarings-
>> problem. Alternativ mulighed: I stedet for at angribe national-banken,
>> skjuler de et par gigabyte børneporno på maskinen. Igen sletter de
>> sporene efter at de overhovedet har været på maskinen...
>>
>
> Samme problemstilling gælder for alle maskiner - der er en honeypot vel
> næppe særlig "særlig".

Forskellen er at normalt skal de selv bryde ind på maskinen - på en
honeypot har man selv, bevidst (med fortsæt) givet dem adgang.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Alex Holst (05-09-2004)
Kommentar
Fra : Alex Holst


Dato : 05-09-04 21:29

Jørn Hundebøll wrote:

> Jeg er meget intersseret i at lære mere, og det er vel også lidt af
> formålet med denne gruppe. Det er klart at hvis der direkte er så svære
> elementer i at sætte det op og drive det, vil jeg nok undlade - da Unix
> ikke er min levevej.

Du skal i hvert fald vaere 100% sikker paa, at du altid ved praecist
hvad (u)vedkommende laver paa din honeypot.

Hvis du mister kontrollen, har adskellige diskussioner i
dk.edb.sikkerhed beskrevet hvordan politiet med det mest
besynderlige/svage grundlag forsager en ransagelse af dit hjem, fjerner
meget eller alt der ligner EDB og saetter dig igennem et laengere
anklage forloeb.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Anders Lund (02-09-2004)
Kommentar
Fra : Anders Lund


Dato : 02-09-04 14:43

Jørn Hundebøll wrote:

> ville gætte på det var mere "effektivt"
> at prøve med flere forskellig passwords på root kontoen end at satse på
> disse underligere brugere.

Nu ved jeg ikke hvordan folk gennerelt sætter deres maskiner op, men jeg
synes at det er meget normalt at spærre for remote login for root. Jeg
bruger FreeBSD og her er det default.

Et enkelt password imellem ingen adgang og fuld adgang... det kan jeg
ikke lide. :)

--
Anders Lund - anders@andersonline.dk

Martin Johansen [600~ (03-09-2004)
Kommentar
Fra : Martin Johansen [600~


Dato : 03-09-04 18:38

Anders Lund skrev:

> Nu ved jeg ikke hvordan folk gennerelt sætter deres maskiner op, men jeg
> synes at det er meget normalt at spærre for remote login for root. Jeg
> bruger FreeBSD og her er det default.

Er det sådan at når root ikke kan access remote kan man så logge ind
som normal bruger og så derefter su ?

> Et enkelt password imellem ingen adgang og fuld adgang... det kan jeg ikke
> lide. :)

Ej betryggende

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)


Anders Lund (04-09-2004)
Kommentar
Fra : Anders Lund


Dato : 04-09-04 10:01

Martin Johansen [6000] wrote:

> Er det sådan at når root ikke kan access remote kan man så logge ind
> som normal bruger og så derefter su ?

Ja - og brugeren skal være medlem af rette gruppe - på FreeBSD i hvert fald.

Det giver så at man remote skal gætte brugernavn + pass + rootpass.

--
Anders Lund - anders@andersonline.dk

Martin Johansen [600~ (04-09-2004)
Kommentar
Fra : Martin Johansen [600~


Dato : 04-09-04 12:57

Anders Lund skrev:

> Ja - og brugeren skal være medlem af rette gruppe - på FreeBSD i hvert
> fald.

OK - jeg må lige lege lidt med det

> Det giver så at man remote skal gætte brugernavn + pass + rootpass.

Nemlig.

--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 (http://counter.li.org)


Jacob Bunk Nielsen (02-09-2004)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 02-09-04 14:46

Jørn Hundebøll <spamnews2@dblue.dk> writes:
> Jacob Bunk Nielsen wrote:
>
>> admin findes på de der Cobalt RaQ-dimser. I hvert fald den jeg
>> (desværre) har stående på arbejdet. De har dog ikke sshd som standard.
>
> Kører de Linux ?

Ja, med en 2.2-kerne af en art så vidt jeg husker.

> Men en bruger som hedder "user" eller en af de øvrige - de findes vel
> næppe på 1 ud af 50 maskiner - ville gætte på det var mere "effektivt"
> at prøve med flere forskellig passwords på root kontoen end at satse på
> disse underligere brugere.

Det ville også give mere mening, hvis du spørger mig.

> Jeg har ikke kunne finde ud af om de maskiner som forsøge "hacking"
> kører Windows eller Linux endnu - jeg hælder mest til det er en orm på
> en Windows maskine.

Hvis du har et par IP-adresser kan du vel prøve at lege lidt med nmap
(med -O flaget) op mod et par stykker af dem.

--
Jacob - www.bunk.cc
Laugh and the world thinks you're an idiot.

Jørn Hundebøll (02-09-2004)
Kommentar
Fra : Jørn Hundebøll


Dato : 02-09-04 17:09


> Hvis du har et par IP-adresser kan du vel prøve at lege lidt med nmap
> (med -O flaget) op mod et par stykker af dem.
>

Selvfølgelig - nmap

Jeg legede lige med de tre sidste som havde banket på "døren", og det
var alle tre Linux maskiner.


Den første :

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-09-02 17:56
CEST
Insufficient responses for TCP sequencing (3), OS detection may be less
accurate
Interesting ports on 211.46.49.252:
(The 1644 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp filtered rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
707/tcp filtered unknown
1434/tcp filtered ms-sql-m
1720/tcp filtered H.323/Q.931
3306/tcp open mysql
4444/tcp filtered krb524
5800/tcp filtered vnc-http
5900/tcp filtered vnc
7000/tcp open afs3-fileserver
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20, Linux Kernel 2.4.18 - 2.5.70
(X86), Linux 2.4.19 w/grsecurity patch, Linux 2.4.20 - 2.4.22
w/grsecurity.org patch, Linux 2.4.22-ck2 (X86) w/grsecurity.org and
HZ=1000 patches
Uptime 1.514 days (since Wed Sep 1 05:36:59 2004)

Nmap run completed -- 1 IP address (1 host up) scanned in 40.099 seconds




den anden maskine:

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-09-02 18:00
CEST
Interesting ports on sm12388.hostcentric.net (66.132.228.69):
(The 1641 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
106/tcp open pop3pw
110/tcp open pop3
113/tcp filtered auth
135/tcp filtered msrpc
143/tcp open imap
465/tcp open smtps
993/tcp open imaps
995/tcp open pop3s
1720/tcp filtered H.323/Q.931
3306/tcp open mysql
4321/tcp open rwhois
8081/tcp filtered blackice-icecap
8443/tcp open https-alt
10000/tcp open snet-sensor-mgmt
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 32.320 days (since Sun Aug 1 10:19:14 2004)

Nmap run completed -- 1 IP address (1 host up) scanned in 19.426 seconds




og den tredje jeg lige fik checket:


Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on (211.185.202.3):
(The 1023 ports scanned but not shown below are in state: filtered)
Port State Service
20/tcp closed ftp-data
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
113/tcp open auth
443/tcp open https
1363/tcp open ndm-requester
Remote OS guesses: Linux 2.1.19 - 2.2.20, Linux 2.2.14
Uptime 0.527 days (since Thu Sep 2 05:27:13 2004)

Nmap run completed -- 1 IP address (1 host up) scanned in 352 seconds

Sven Esbjerg (02-09-2004)
Kommentar
Fra : Sven Esbjerg


Dato : 02-09-04 20:28

On Thu, 02 Sep 2004 19:08:57 +0200, Jørn Hundebøll wrote:

> Interesting ports on 211.46.49.252:
> Interesting ports on sm12388.hostcentric.net (66.132.228.69):
> Interesting ports on (211.185.202.3):

Jeg synes det er sjovt at se at 2 af disse adresser tilhører apnic.net i
korea. Det er klart den netblock provider med flest zombies efter min
statestik over probes.

Man kan jo overveje at blokke 210/7 og 202/7 hvis man bliver træt af
koreanske zombie-maskiner.

Mvh.
Sven

Jacob Bunk Nielsen (02-09-2004)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 02-09-04 17:22

Jørn Hundebøll <spamnews2@dblue.dk> writes:

> Selvfølgelig - nmap
> [ ... ]
> Interesting ports on 211.46.49.252:
> [ ... ]
> 80/tcp open http

Der kører sørme en webserver, og man får også en hjemmeside frem på
den. Desværre er den på et sprog jeg ikke forstår. Ellers kunne det jo
være sjovt at finde en emailadresse og prøve at skrive til nogen og
høre om det er noget de kender til.

> og den tredje jeg lige fik checket:
> [ ... ]
> 80/tcp open http

Der var også en fin hjemmeside, som jeg ikke forstod en hujende fis
af, men øverst er der et link hvor man kan skrive til webmaster {hos}
okgok.es.kr. Det kan jo være at han ved noget.

--
Jacob - www.bunk.cc
The second best policy is dishonesty.

Martin Hansen (06-09-2004)
Kommentar
Fra : Martin Hansen


Dato : 06-09-04 14:42

Jørn Hundebøll wrote:
> 4) Er der andre som i de sidste par uger har set lignende tendenser ?
Ja

--
Martin Hansen

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste