Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

Domme poortscan of is hier meer aan de hand ?

m3ssi4h
23 antwoorden
  • Hallo,

    Na aanleiding van dit topic http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=150791
    Waarin ik probeer om wat meer overzicht voor mezelf te creëeren door o.a. een logfile te tailen op mijn desktop, kwam ik tot de volgende schokkende ontdekking :
    [code:1:c902e3b34f]
    Oct 2 16:11:13 pinky – MARK –
    Oct 2 16:22:31 pinky sshd[6279]: Invalid user test from 148.4.213.134
    Oct 2 16:22:31 pinky sshd[6279]: Failed password for invalid user test from 148.4.213.134 port 36729 ssh2
    Oct 2 16:22:32 pinky sshd[6281]: Invalid user guest from 148.4.213.134
    Oct 2 16:22:32 pinky sshd[6281]: Failed password for invalid user guest from 148.4.213.134 port 36777 ssh2
    Oct 2 16:22:33 pinky sshd[6283]: Invalid user admin from 148.4.213.134
    Oct 2 16:22:33 pinky sshd[6283]: Failed password for invalid user admin from 148.4.213.134 port 36820 ssh2
    Oct 2 16:22:34 pinky sshd[6285]: Invalid user admin from 148.4.213.134
    Oct 2 16:22:34 pinky sshd[6285]: Failed password for invalid user admin from 148.4.213.134 port 36862 ssh2
    Oct 2 16:22:35 pinky sshd[6287]: Invalid user user from 148.4.213.134
    Oct 2 16:22:35 pinky sshd[6287]: Failed password for invalid user user from 148.4.213.134 port 36903 ssh2
    Oct 2 16:22:36 pinky sshd[6289]: Failed password for root from 148.4.213.134 port 36938 ssh2
    Oct 2 16:22:37 pinky sshd[6291]: Failed password for root from 148.4.213.134 port 36973 ssh2
    Oct 2 16:22:38 pinky sshd[6293]: Failed password for root from 148.4.213.134 port 37014 ssh2
    Oct 2 16:22:39 pinky sshd[6295]: Invalid user test from 148.4.213.134
    Oct 2 16:22:39 pinky sshd[6295]: Failed password for invalid user test from 148.4.213.134 port 37047 ssh2
    [/code:1:c902e3b34f]

    Als ik wat in de overige logfiles blader blijken er vaker van dit soort pogingen te zijn en ook vaker uit deze ip-range.
    Het blijkt een ip range van de universiteit van Long Island te zijn.

    Dit kwam aan het licht doordat ik live zag dat deze pogingen plaatsvonden toen ik een scriptje aan het debuggen was.
    Meestal valt het niet op, want de laatste weken heb ik amper mijn logfiles ingezien.
    Het vreemde is echter dat mijn ssh-deamon op deze computer niet rechtstreeks vanaf het internet valt te bereiken ?!
    Er is namelijk een router die alle poorten behalve enkele blokkeerd.
    Poort 22 verwijst naar een andere computer op het netwerk dan deze.
    Alle ssh activiteiten van buitenaf zouden dus via die ene computer moeten lopen en deze is bij mijn beste weten beveveiligd met max auth tries.
    Deze pogingen komen echter niet van die computer, want dan zou ik een intern ip zien en niet het globale ip.
    Als deze poginen door de firewall van de router geblocked worden dan zou het niet in /var/messages opduiken maar in de log van de firewall (routertje).

    Zijn dit valse meldingen of … ik begrijp het dus niet … toch ben ik blij dat het me nu gelijk opvalt nu het gebeurt en nauwlettend alles kan volgen.
    Volgens mij is er niemand ingeslaagd om in te loggen, want ik ben nog steeds de enigste user op alle systemen.
  • Gewoon gasten die met botjes op ssh scannen om zo toegang tot je computer te krijgen. Iedereen heeft er last van, maar als je de boel goed aanpakt is er niets aan de hand.

    Dit soort inlog pogingen zul je vaak zien:

    root
    test
    ftp
    user
    1234
    !@#$
    )(*&
  • Even melden aan je provider en verder geen zorgen maken.
    En in jouw geval naar abuse@iana.org, misschien (kans is klein) doen ze wat.

    Ik heb op de modem ook een vreemde root naam bedacht.
    Dan moeten ze eerst de naam ontdekken en vervolgens nog eens het wachtwoord gokken. :)
  • Of maak een snort rule als het te zot wordt. Bijvoorbeeld iets als:

    [code:1:75564a2ad2]
    alert tcp any any -> $HOME_NET 22 (msg:"BLEEDING-EDGE Potential SSH Brute Force Attack"; flow:to_server,established; flags:S; threshold:type threshold, track by_src, count 5, seconds 60; classtype:attempted-dos; sid:2001219; rev:4;)
    [/code:1:75564a2ad2]
  • Je kent natuurlijk de site van Steve Gibson?
  • [quote:528cd237e0="M.V. Wesstein"]Je kent natuurlijk de site van Steve Gibson?[/quote:528cd237e0]
    Die ken ik ja …

    Zojuist had ik weer een scan …. een hele omvangrijke waar een 3 duizend poorten zijn geprobeerd met root en een foutief wachtwoord.
    Het bleek te komen van een universiteit van Hartford.
    Mogelijk zijn dit al gehackte shells van waaruit ze deze scritpjes draaien ?

    Voor de zekerheid heb ik momenteel alle poorten in de router weer geblokkeerd, want ik heb momenteel toch geen ssh mogelijkheden vanaf school en werk om thuis in te loggen.
    De mailserver en webserver waren toch al offline sinds de stroomstoring daar ik nog niet de tijd heb gehad om deze weer veilig online te brengen (alles geconfigureerd, maar nog niet grondig kunnen testen op de veiligheid).

    @Danieldk
    Ik had welleens gehoord van snort dacht ik, maar meer als een packetsnifter voor wifi netwerken, dit bleek air snort te zijn.
    Dit snort lijkt een erg krachtige packet analyse tool.
    Het zal zeker zijn nut gaan bewijzen, maar dan moet ik me er eerst weer wel in verdiepen gedurende een bepaalde tijd voordat ik snort met een veilig gevoel kan configureren.
    Het is een complex pakket met vele mogelijkheden en je moet niet op valse veiligheid leunen, wat zich kan voerdoen indien je onkundig met dit soort zaken omgaat.

    Feit is dat ik toch voor een andere aanpak voor systeemveiligheid ga gezien de vele scans op een dag.
    Ook is mijn respect voor de vakkundige systeembeheerdes wederom gestegen … er zit toch meer achter dan je denkt !
  • Toch vreemd … als ik zelf de bewuste poorten (ranges) scan, dan blijken deze allen stealth te zijn !
    Hoe is het dan mogelijk dat deze 'aanvaller' met een verkeer wachtwoord weet in te loggen op een niet bestaande ssh-deamon ?! :roll:

    Er staat b.v. :
    [b:86e1041a03]Failed password for invalid user test from 148.4.213.134 port 36729 ssh2 [/b:86e1041a03]

    Ten eerste is deze poort stealth voor de buitenwereld … het is dus al vreemd dat hij er door komt.
    Op poort 36729 heb ik geen ssh-daemon draaien, dus hoe kan hij dan ooit een ssh authenticatie doen op die poort ?
  • Volgens mij betekend stealth verborgen en niet altijd closed & verborgen.

    Bepaalde geinstalleerde programma's, kunnen een poort open en stealth zetten.
    Ze kunnen hierdoor wel data ontvangen, maar reageren niet, tot ze een gebruikersnaam, wachtwoord en/of een bepaalde code krijgen.

    Het programma geeft geen identificatie code uit, tot all de juiste data is ontvangen.
  • [quote:e9e50c5eee="Pinky & The Brain"][b:e9e50c5eee]Failed password for invalid user test from 148.4.213.134 port 36729 ssh2 [/b:e9e50c5eee]

    Ten eerste is deze poort stealth voor de buitenwereld … het is dus al vreemd dat hij er door komt.
    Op poort 36729 heb ik geen ssh-daemon draaien, dus hoe kan hij dan ooit een ssh authenticatie doen op die poort ?[/quote:e9e50c5eee]

    Dit meen je niet he :o Meen je deze vraag nou echt :-?
    ROFL :D
  • Maak je maar niet te druk om die logs, ik zie al maanden weinig anders meer in mijn logfiles dan deze SSH brute force/dictionary attacks. :wink: Zolang je wachtwoorden goed zijn, en je ssh daemon up to date zit je in feite vrij veilig.
  • [quote:1ce68b1765="m3ssi4h"]
    Dit meen je niet he :o Meen je deze vraag nou echt :-?
    ROFL :D[/quote:1ce68b1765]

    Ah, het is amusant blijkbaar :roll:

    Nee, het punt is dat deze melding om o.a. poort 36729 gaat.
    Daar luistert de sshd echter niet op.
    Hoe kan er dan in godsnaam een foutiefe ssh inlog poging zijn ?

    Normaal ssh je naar een poort, geef je een gebruikersnaam en vervolgens wachtwoord.
    Als er echter geen daemon op een dergelijke poort draait, dan kun je toch nooit een gebruikersnaam of wachtwoord invoeren ?!
    Er is dus wel degelijk iets wat deze gegevens heeft ontvangen van de 'aanvaller' want deze gegevens duiken op in een logfile.
    Misschien dat ik het niet goed onder woorden heb gebracht, maar als je telnet naar poort 25 in de verwachting dat je er een mailserver aantreft en deze blijkt niet op die poort te luisteren, dan is het gelijk over.
    Met ssh is het ongeveer zo, natuurlijk kun je wel gebruikersnaam en wachtwoord in één keer meezenden, maar als er geen daemon op die poorten luistert zal die data toch verloren gaan ?

    Iets heeft deze gegevens toch afgevangen …
  • Ik begin nu echt hele grote zorgen te maken over de kwaliteit van Linux sysadmins :cry:

    Dat portnummer waar jij zo op gefocussed bent is de source-port vanwaar het verzoek afkomstig is. Dat is dus GEEN openstaande port op jouw server.

    En verder besteed gewoon geen aandacht aan dat soort login-pogingen want het is de sop de kool niet waard.
  • [quote:91383807ff="m3ssi4h"]Ik begin nu echt hele grote zorgen te maken over de kwaliteit van Linux sysadmins :cry:

    Dat portnummer waar jij zo op gefocussed bent is de source-port vanwaar het verzoek afkomstig is. Dat is dus GEEN openstaande port op jouw server.

    En verder besteed gewoon geen aandacht aan dat soort login-pogingen want het is de sop de kool niet waard.[/quote:91383807ff]
    Als dat de source poort is, wat wel aannemelijk is ….. waarom scannen ze dan vanaf al die verschillende poorten ?
    Een normale poortscan komt meestal vanaf 1 computer die zoveel mogelijk poorten scant op de doelhost.
    Hier scannen ze juist vanaf zoveel mogeleijk poorten van de source naar 1 poort op de doelhost ?

    Tja, misschien niet iets om zorgen over te maken … toch kan het volgens mij geen kwaad om zo nu en dan eens op onderzoek uit te gaan.
  • Misschien tijd om een fatsoenlijk boek te lezen over TCP/IP te lezen? Serieus, anders gaat het nog een keer fout.
  • [quote:21ab9f0d4a="danieldk"]Misschien tijd om een fatsoenlijk boek te lezen over TCP/IP te lezen? Serieus, anders gaat het nog een keer fout.[/quote:21ab9f0d4a]
    Oké, goed plan … maar zou iemand dan zo vriendelijk kunnen zijn om toe te lichten wat hier zo fout gaat ?

    Na wat logische redenatie lijkt het er op alsof er vanaf verschillende poorten een inlog poging wordt gedaan op poort 22 van mijn ip.
    Is dat niet vreemd dan, dat er vanaf zoveel diverse poorten een poging wordt ondernomen, allemaal op dezelfde doelpoort ?
  • [quote:388451659a="Pinky & The Brain"]Is dat niet vreemd dan, dat er vanaf zoveel diverse poorten een poging wordt ondernomen, allemaal op dezelfde doelpoort ?[/quote:388451659a]
    Wat bedoel je daar precies mee? Ik volg je niet helemaal, maar dat kan ook komen omdat wij niet zien wat er in jouw logfiles staat… (HINT!! ;))

    Wat zegt de melding[code:1:388451659a]Failed password for invalid user test from 148.4.213.134 port 36729 ssh2 [/code:1:388451659a] nou eigenlijk? Vrij vertaald: Mislukt (lees als: ongeldig) password voor ongeldige user test van ip 148.4.213.134 op port 36729 voor de service ssh. Waarom? Omdat a) de user test niet bestaat, b) het password ism de user eveneens niet bestaat en c) ssh luistert niet naar port 36729. Wat doet de kernel hiermee? Die gooit alle pakketjes van deze connectie gewoon weg, want er is niks dat antwoord kan/wil geven :) Het is niet meer dan een manier om te proberen te achterhalen wélke services je draait, op welke poort en wat de combinatie username+password zou kunnen zijn. Dat noemen ze een "brute force" aanval en is normaal gesproken, als je de zaak goed hebt dichtgetimmerd (iptables!!), volslagen nutteloos en ongevaarlijk, omdat je die services hebt afgeschermd of niet gebruikt. Het gaat dus niet 'fout' maar je hecht er meer waarde aan dan het feitelijk waard is. Iedere sys-admin weet dat z'n server(s) op deze manier 24/7 worden getest door echte hackers en "script kiddies". Daarom verwees ik je ook naar de site van Steve Gibson, er staat nl een leerzaam verhaal van een DDoS aanval op z'n server en wat er achter zat.

    Groet, M.V. Wesstein

    PS: je hoeft natuurlijk niet de hele logfile te posten, een stukje is genoeg ;)
  • [quote:60c9b484a3="M.V. Wesstein"]Daarom verwees ik je ook naar de site van Steve Gibson, er staat nl een leerzaam verhaal van een DDoS aanval op z'n server en wat er achter zat.[/quote:60c9b484a3]

    Hij heeft het verhaal over "hand crafted TCP packets" en "nanoprobes" van zijn site gehaald inmiddels geloof ik? :wink:
  • @ M.V. Wesstein

    Aaarghh :o , het is vanaf port 36729 (attacker) naar ssh (server port 22 neem ik aan) toe. Zoals jij het schrijft draai je net de boel om :-?.
  • :oops: Je hebt gelijk :oops:
  • hehehe…
    diegene die zich zorgen maken over de kwaliteit van sysadmins raise your hands :)

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.