Was wollen die Inder von mir?

  • Ich bekomme jeden Tag von meinem Server eine Auswertung der letzten 5 Tage darüber zugesandt, wer auf Port 443 eine "unerlaubte" Kontaktaufnahme versucht hat und abgwiesen wurden. Und das nach IP und Datum sortiert, so dass ich Wiederholungen von einer IP erkennen kann. IPs, die das hartnäckig mehrere Tage versuchen, werden gefiltert. Und heute kommt das... das ist doch nicht normal... was soll der Scheiss... was wollen die Inder von mir? Soviele Fehlversuche, das müssen doch Einbruchsversuche sein.....


    IP Address 122.161.177.254

    Host 122.161.177.254

    Country India

    Region Haryana

    City Babail

    Postal Code 132104

    Latitude 29°25'44" N

    Longitude 77°02'57" E


    Bei mir gibts garantiert nix umsonst..... :cursing: :wallbash:  :denker:

  • Moin ThomasL,


    du bist zu gut abgesichert!

    Da muß sich was wichtiges verstecken!


    Vorschlag: Lass sie rein



    Gruss Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"

    Vielleicht trifft man sich in der RPi-Plauderecke.

  • Interessanter als die Anzahl der Anfragen finde ich die Art: bei 443 gehe ich mal von HTTPS aus. Oftmals werden einfach diverse Standardpfade von Adminoberflächen abgefragt: phpmyadmin, WordPress, etc.


    Hast du das auch geloggt?


    Edit: wenn ich mir dein Log anschaue, das ist dann doch sehr aggressiv :conf:

  • Jo, das ist noch harmlos, jemand aus China hatte mal mein Logfile in einer Nacht auf mehrere MB vergrössert.

    Ich leide an Verfolgungswahn... :daumendreh2: Ha, da ist schon wieder einer! :denker:

  • Die Europawahlen stehen vor der Tür, die brauchen "nur" ein paar Bots.


    Ich habe hier das Statistikpaket awffull installiert, der Spitzenreiter ist bei mir China, Indien ist auf Platz 12:

    China scheint sich Monat für Monat zu steigern, wenn man das für Januar hochrechnet werden das 3580 Zugriffe,

    im Dezember waren es "nur" 2762 Zugriffe.


    Bei mir werden mittlerweile mehr als 100 Seiten/Scripte abgefragt:

    Das zeigt mir an, mit was die sich gerade beschäftigen.


    MfG


    Jürgen

    Jahrelang wurde gesagt: Das geht nicht, das gibt es nicht und das war schon immer so.
    Und dann kam einer, der wußte das nicht, und hat es dann einfach gemaccht.

    Meine Projekte

    Avatar


  • Das ist normal dass Leute anklopfen. Bei mir hatten mal offensichtlich Studenten aus Indien auf meinem ssh brute force Loginversuche laufen lassen. Nachdem ich dem Admin sowie dem Rektor der Uni Auszuege aus meinem Log geschickt hatte war Ruhe von der IP. Aber dauerte nicht lange und da probierten die Nächsten aus Indien von einer anderen Uni. Sind aber nicht nur Inder sondern aus aller Herren Länder kommen immer wieder solche LoginAttempts. Beim Webserver ist das Anklopfen/Ausprobieren ebenso häufig um Sicherheitslücken zu finden und auszunutzen.


    Kann man nur regelmäßig Securityupdates fahren und jegliche Zugaenge absichern (key access only, 2fa, ...)

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Torvalds, 28.9.2003

    >>> raspiBackup: Sichere Deine Raspberry regelmäßig im laufenden Betrieb <<<

  • Aus diesem Grund blocke ich alle IP-Adressen, die nicht aus Deutschland kommen. Ich lasse auf meinem Server Dienste für mich laufen (Seafile, Kalender, Kontakte, Gitea, usw.), wo keine anderen User Zugriff brauchen, zumindest keine von ausserhalb Deutschlands. Daher blocke ich mit IPTables nichtdeutsche IP-Adressen. Ich sehe dann nur in dmesg die Zugriffsversuche, die geblockt wurden.

    Willst du einen Tag lang glücklich sein, dann saufe.

    Willst du ein Jahr lang glücklich sein, dann heirate.

    Willst du ein Leben lang glücklich sein, dann fahr Yamaha.

  • Ich habe die zone-Datei, die die deutschen IP-Bereiche beinhaltet heruntergleaden und mit ipset eingelesen. Anschließend wird das ipset zu iptables hinzugefügt. Die Performance ist top. Man merkt nicht, dass da was geprüft wird. Es gibt keine erhöhte CPU- oder RAM-Last.


    Grundlesgendes Vorgehen:


    - ipset installieren

    - ipset anlegen (udo ipset create de_access hash:net)

    - Zone-Datei mit deutschen IP-Bereichen herunterladen (wget -O /tmp/de.zone http://www.ipdeny.com/ipblocks/data/countries/de.zone)

    - IP-Adressen in ipset einlesen:

    Code
    1. for IP in $(cat /tmp/de.zone)
    2. do
    3. sudo ipset add de_access $IP
    4. done

    - Regeln für IPTables anlegen:


    ausgehende Verbindungen zulassen


    Code
    1. sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


    alle Zugriffe von deutschen IP-Adressen zulassen:

    Code
    1. sudo iptables -A INPUT -m set --match-set de_access src -j ACCEPT

    alle anderen Zugriffe blocken:

    Code
    1. sudo iptables -A INPUT -j DROP


    Am Ende braucht man noch ein Script, was das ipset beim Start wieder in IPTables packt, da IPTables bei einem Neustart geleert werden. Ich habe dazu ein Script unter /etc/network/if-up.d liegen, was das für mich erledigt:


    Shell-Script
    1. #!/bin/sh
    2. ipset restore < /usr/local/bin/ipset_de_only.conf
    3. iptables-restore < /usr/local/bin/iptables_de_only.conf

    In iptables_de_only.conf steht die einmal exportierte IPTables, nachdem das ipset erstmalig eingelesen wurde.

    Code
    1. iptables-save > /usr/local/bin/iptables_de_only.conf


    In ipset_de_omly.conf stehen die IP-Breiche.

    Code
    1. ipset save > /usr/local/bin/ipset_de_only.conf


    Ich hab mir ein Script gebaut, was mir das automatisch einrichtet. BITTE NICHT BLIND KOPIEREN UND AUSFÜHREN, SONDERN VORHER PRÜFEN. Es müssen zum Beispiel die IP-Adresse des lokalen Netzwerks angepasst werden.


    Willst du einen Tag lang glücklich sein, dann saufe.

    Willst du ein Jahr lang glücklich sein, dann heirate.

    Willst du ein Leben lang glücklich sein, dann fahr Yamaha.

    Edited 5 times, last by FoCMB ().

  • wenn ich mir dein Log anschaue, das ist dann doch sehr aggressiv

    Was, nur 178 Versuche von 11:46 - 21:13? Wo ist das Problem?

    Ich empfinde das auch als aggressiv... und zwar vor dem Hintergrund, dass das nur ein kleiner privater, völlig unbekannter Server ist, der rein zufällig gefunden wird, weil er beim Scannen des 'Internets' rein zufällg auf Port 443 reagiert.Man kann das sicher nicht auf eine Stufe mit gewerblich betriebenen Systemen stellen, die öffentlich bekannt sind. Ich bewerte das als aggressiv, weil meiner Meinung nach jemand ganz gezielt auf der Suche nach IPs bzw. Services mit Schwachstellen ist, denn es geht hier nicht um eine Attacke auf einen großen Dienstleister oder irgendein Unternehmen, sondern auf meinen kleinen unbedeutenden NUC, den niemand außer mir selber kennt.:cursing:


    Bei mir läuft auf Port 443 aber kein Web-Server, was wohl von diesen Hackern angenommen wird, sondern OpenVPN, der als Dienst natürlich alles rigoros abwimmelt. :fies: ... aber dennoch... unfassbar, wer alles von irgendwo auf der Welt digital in meine IT einbrechen will. Das sollte jedem zu denken geben, der seine private Raspi-Cloud nach außen öffnet. Wer da nicht die volle Kontrolle über die Sicherheitsmechanismen seines Netzwerks hat, hat über kurz oder lang auch keine Kontrolle mehr über seine Cloud. :denker:

  • Postet alle IP Adressen hier und ich nutze mein Rechenzentrum um die zu ddosen..:fies:


    Mal sehen wer dann blöd aus der Wäsche guckt8o

    Wenn's brennt 112 hilft weiter!

  • denn es geht hier nicht um eine Attacke auf einen großen Dienstleister oder irgendein Unternehmen, sondern auf meinen kleinen unbedeutenden NUC, den niemand außer mir selber kennt.

    Nein, es ist ganz einfach automatisiertes Scannen ganzer IP-Ranges, egal wer sich dahinter verbirgt.

    "Wenn du nichts zu sagen hast, sag einfach nichts!"

  • Ich habe die zone-Datei, die die deutschen IP-Bereiche beinhaltet heruntergleaden und mit ipset eingelesen. Anschließend wird das ipset zu iptables hinzugefügt. Die Performance ist top. Man merkt nicht, dass da was geprüft wird. Es gibt keine erhöhte CPU- oder RAM-Last.

    IPSet macht das prima, ich habe mich damals allerdings trotzdem dagegen entschieden, weil ich mich nicht selber ausperren wollte, wenn ich irgendwo unterwegs auf Reise bin. Deswegen gehe ich im Moment hin und ignoriere alle Einzelattacken, also Verbindungsversuche, die zeitlich zuammenhängend von einer IP kommen. Die meisten Besucher-IPs sieht man danach nie wieder.


    Lediglich einige wenige IPs waren über mehrere Tage hinweg immer wieder präsent, und das owohl bei mir noch täglich ne Zwangstrennung durchgeführt wurde. Die habe ich dann dauerhaft gefiltert, und zwar gleich Range-Weise:

    37.49.231.93

    60.191.38.0/24

    62.32.81.0/24

    71.6.202.0/24

    141.212.122.0/24

    196.52.43.0/24


    106.75.0.0/16

    139.162.0.0/16

    198.108.0.0/16

    208.93.0.0/16

  • Für den Fall, dass ich unterwegs bin, nutze ich einen deutschen Proxy Server und gut ist. Über den deutschen Proxy komme ich an meine gehosteten Dienste über den Browser. Das reicht für unterwegs Zur Not kann man den Pi auch ohne das Script mal neustarten, so dass alle Regeln weg sind.

    Willst du einen Tag lang glücklich sein, dann saufe.

    Willst du ein Jahr lang glücklich sein, dann heirate.

    Willst du ein Leben lang glücklich sein, dann fahr Yamaha.

  • Nein, es ist ganz einfach automatisiertes Scannen ganzer IP-Ranges, egal wer sich dahinter verbirgt.

    Ja, das ist mir wohl bewusst. Die Aggressivität leite ich daraus ab, dass das stundenlang wiederholt versucht wurde. Die meisten Angreifer versuchen das ein paar mal über einige Sekunden lang und man sieht sie danach nie wieder... aber diese Inder-IP war eben anders. Das hatte ich, solange ich das protokolliere, noch nie in dieser Ausprägung.

  • Wegen des Vorfalls vor ein paar Wochen habe ich mir mal eine Auswertung bestehender Daten/Logs gestrickt. Und seit dem bekomme ich jeden Morgen eine Email, die mir einen Überblick verschafft, was so passiert ist. Ich interpretiere es so, dass sich das irgendwie einigermaßen beruhigt hat, es ist bezogen auf einen Tag deutlich weniger geworden. Was mir allerdings aufgefallen ist, es gibt kaum noch mehrfache Hacking-Versuche, in seltenen Fällen also 2 (oder mehr) Zugriffe hintereinander. Wobei bei mir dann schon der 2. Versuch gebannt wird. Auffällig sind allerdings einige wenige sich über einen längeren Zeitraum kontinuierlich wiederholende IPs, die ständig in meiner Blacklist hängenbleiben.


  • Ich habe mit fail2ban auf meinem Server sehr gute Erfahrungen gemacht. Damit ich jetzt keine eigene Anleitung schreiben muß, ist hier eine aus meiner Sicht gut verstänliche auf deutsch und auch recht aktuell. Da geht es um Absicherung von SSH, man kann aber auch jeden anderen Dienst damit absichern.

    https://blog.marcelhuss.de/201…r-mit-fail2ban-absichern/

  • ch habe mit fail2ban auf meinem Server sehr gute Erfahrungen gemacht.

    Ja, das hatte ich mir auch mal angeguckt... fail2ban ist aber heute meiner Meinung nach für meine Zwecke eigentlich unnütz und auch überflüssig. Ich "blackliste" und "banne" direkt im Kernel, unmittelbar beim/nach dem Zugriff. Die nftables unterstützen das für meine Zwecke deutlich effektiver, als ein langsames nachgeschaltetes Tool, was eben auch nur wieder eine weitere Software ist, auf die man sich gutgläubig verlassen muss. Ich setze halt lieber auf den Kernel, der dasselbe meiner Meinung nach besser kann.


    Ausserdem halte ich das für eine Schwäche, nur einen einzelnen Dienst (und das für jeden Dienst extra) zu überwachen .Mit nftables kann ich schon im Vorfeld pauschal verhindern, dass mehrfache Attacken überhaupt bei den Diensten ankommen, ohne mich auf einzelne Dienste festlegen zu müssen.

    Edited 2 times, last by ThomasL ().