Warum sollte ich vielleicht doch keinen aus dem Internet zugreifbaren Webserver betreiben ...

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Eben habe ich mal in mein Apache Log reingesehen. Da fand ich

    Code
    [Thu Nov 24 10:36:10.408941 2022] [core:error] [pid 53819:tid 139859136018176] [client 199.21.113.206:52641] AH10244: invalid URI path (/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh)
    [Thu Nov 24 10:36:10.800318 2022] [core:error] [pid 84701:tid 139857884079872] [client 199.21.113.206:52715] AH10244: invalid URI path (/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh)

    whois liefert mir

    Code
    OrgName:        ColoCrossing
    OrgId:          VGS-9
    Address:        325 Delaware Avenue
    Address:        Suite 300
    City:           Buffalo
    StateProv:      NY
    PostalCode:     14202
    Country:        US

    und das zeigt mir dass jemand aus USA versucht hat meinen Webserver auszutrixen um die Webseite zu uebernehmen.

    %2e ist ein Punkt d.h. da wird versucht sich auf der Dateiebene hochzuhangeln und eine ausfuehrbare Shell zu finden.%32 %65 ist ein 2e. Offensichtlich gibt es auch Sicherheitsluecken wo der zweite Versuch Erfolg hat.

    Einen Webserver aufzusetzen ist relative leicht getan. Wenn man den aus dem Internet zugreifbar macht wird es immer Leute geben die die Webseite finden und veruschen Schwachstellen auszunutzen um den Server zu uebernehmen. Sieht man ja bei mir. Nur wird diese Webseite professionell auf dem aktuellen Securitystand gehalten da es ein managed Server ist. Wer so einen Webserver lokale auf eine Raspi betreibt muss aktiv regelmaessig Updates einspielen um vor solchen Angriffen geschuetzt zu sein. Wer hat die Zeit das zu tun?

    Ich bin mir 99.9% sicher das das keiner macht und es wundert mich auch nicht wenn diese System fuer DOS Attacken oder noch mehr eingesetzt werden.

    Kurzum - so schoen es ist einen eigenen Webserver lokal zu betreiben - lasst die Finger davon :no_sad:

    jm2j

  • Warum sollte ich vielleicht doch keinen aus dem Internet zugreifbaren Webserver betreiben ...? Schau mal ob du hier fündig wirst!

  • Diese Lektion lernen leider viel zu viele auf sehr schmerzhafte Weise.

    Wenn man sich die aktuelle Malware Welle auf den QNAP NAS ansieht... :-/

    Die läuft nun schon fast ein Jahr, und die Hacker haben laut Blockchain weit über 1 Mio(!) € an Lösegeld genommen.

    Alles, was man offen ins Netz stellt, ist potentiell gefährdet. Wenn, nehme ich dafür auch einen managed Server oder Provider, aber nichts bei mir zu Hause im LAN.

    Gruss

  • Die Rechte auf der Shell hat dieser User trotzdem nicht. Man müsste heutzutage schon ziemlich "dämlich"(/ aktiv tätig werdend) sein, einen professionellen(*) Webserver zu verkonfigurieren.

    *) Damit meine ich einen Webserver aus dem Repo.

    Ausnahmen bestätigen natürlich die Regel!

    //Edit

    Wer da z.B. 777er Rechte vergibt ist selber schuld! Das hat dann aber nichts pauschal mit einer Unsicherheit von Webservern aus dem Heimnetz zu tun. ;)

  • und das zeigt mir dass jemand aus USA versucht hat meinen Webserver auszutrixen um die Webseite zu uebernehmen.

    wie soll das auf dem Einprogrammierten Webserver im AVR funktionieren?

    https://www.mikrocontroller.net/articles/AVR_N…satz_von_Pollin

    Aber der ist sowieso intern abgesschirmt, das nach Aussen hatte ich schon längst abgeschaltet.

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • Hallo,

    Wer hat die Zeit das zu tun?

    Der eigentliche Zeitaufwand ist ja auch eher, den Projekten, deren Software man nutzt, zu folgen und deren Sicherheitsmitteilungen zu lesen, damit man weiß, wann welches Update angebracht ist.

    Man müsste heutzutage schon ziemlich "dämlich"(/ aktiv tätig werdend) sein, einen professionellen(*) Webserver zu verkonfigurieren.

    Das ist IMHO deutlich zu kurz gedacht. Ja, stimmt wahrscheinlich WENN man nur statische Webseiten ausliefert und man sicher ist, dass die Distribution der Wahl das Paket des Webservers auch pflegt. Nur wollen die meisten wahrscheinlich noch ein CMS oder so was betreiben. Dann hat ein Angreifer schon mal zwei weitere Ziele: das CMS und die Programmiersprache, auf der es läuft. Plus ggf. bei letzterem irgendwelche Zusatzmodule für Programmiersprache $FOO. Und dann wird es schon deutlich aufwendiger.

    ich weiß nicht, wie es beim Raspi OS ist, aber bei Ubuntu liegen z.B. etliche CMS bzw. anderer Serversoftware in den "universe" Quellen. Da hast du Null Garantie auf Update, d.h. die manuelle Installation ist angebracht. Und damit auch die manuelle Pflege, um die Software auf dem Stand zu halten.

    Da fährt man mit einem managed server schon besser.

    Gruß, noisefloor

  • Ich nutze zur Analyse oft Python. Den Angriff nennt man Path Traversal.

    Quote

    In [1]: import urllib.parse

    In [2]: urllib.parse.unquote("/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh")

    Out[2]: '/cgi-bin/../../../../bin/sh'

    Hier soll mittels cgi-bin eine Shell gestartet werden.

    Den Payload kann man leider nicht sehen.

    Das geht normalerweise nur bei falsch konfigurierten Webservern oder wenn der jeweilige (Nginx/Apache2) Webserver einen Bug hat oder in Szenarien, wo der Paketverwalter einen fatalen Fehler gemacht hat.

    Eine Möglichkeit die Ressourcen der Bots zu verbrauchen, wäre eine Slowris-Attacke vom Webserver. Wenn z.B. ein Bot die Datei wp_admin.php (beliebtes Angriffsziel) anfordert, sendet mein Webserver ein Byte pro Sekunde. Das beschäftigt den Bot etwas.

  • Du meinst vermutlich wp-login.php.

    Die Zugriffe gab es auch. Da ich kein WordPress hoste, muss ich da auch nichts sperren. Jedenfalls werden alle möglichen bekannten php-Dateien durch Bots aufgerufen.

  • Heute habe ich schon wieder was gefunnden:

    Alle Requests kamen von der selben IP aus USA.

    Ist schon interessant was es fuer Hacker doch alles alles interessante Dateien gibt :-/ Ich habe jetzt nicht bei den CVEs nachgesehen aber ich denke da wird man fuendig. Interessant ist auch dass man mal testet ob es git repo auf dem Server existiert und versucht auf die config in der u.U. Credentials drinstehen zuzugreifen.

    Zum mircosoft.exchange habe ich folgende Webseite gefunden. Das war wohl vor laengerer Zeit eine Vulnerability.

    Bei maven findet man diese CVE Seite

    und bei den anderen sicherlich auch weitere Vulnerabilities bzw CVEs

  • Fail2Ban mit maxretry=1 und Bantime von zwei Wochen oder so und du siehst die nur einmal.

    Display Spoiler

    root@lsv003:~# fail2ban-client status | sed -n 's/,//g;s/.*Jail list://p' | xargs -n1 fail2ban-client status

    Status for the jail: apache-400

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 96

    | `- File list: /var/log/apache2/other_vhosts_access.log /var/log/apache2/access.log /var/log/apache2/ssl_access.log

    `- Actions

    |- Currently banned: 56

    |- Total banned: 139

    `- Banned IP list: 172.105.77.209 109.74.204.123 181.214.206.161 34.76.96.55 161.35.41.93 152.89.196.211 45.83.65.83 45.83.67.20 192.241.204.56 109.237.97.180 192.241.207.166 159.89.160.251 143.198.35.191 192.241.192.229 192.241.200.121 157.230.116.214 45.33.54.166 172.105.252.81 170.187.182.196 142.93.211.4 45.79.72.123 67.207.93.37 139.59.57.76 192.241.212.177 50.116.16.97 198.199.92.127 192.241.206.82 185.234.75.144 130.211.54.158 143.110.209.19 72.251.235.152 192.241.192.97 185.189.182.234 188.166.14.247 198.199.117.125 172.105.246.139 195.96.137.8 192.241.195.6 192.241.212.9 192.241.193.43 72.251.235.148 165.227.231.149 43.153.10.221 35.216.166.72 4.236.180.246 46.101.19.194 198.199.119.107 104.248.32.198 165.227.145.121 152.32.143.122 198.199.93.187 198.199.95.111 165.227.189.169 117.187.173.3 134.209.250.36 192.241.207.171

    Status for the jail: apache-auth

    |- Filter

    | |- Currently failed: 4

    | |- Total failed: 4

    | `- File list: /var/log/apache2/error.log /var/log/apache2/ssl_error.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Status for the jail: apache-badbots

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 0

    | `- File list: /var/log/apache2/other_vhosts_access.log /var/log/apache2/access.log /var/log/apache2/ssl_access.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Status for the jail: apache-botsearch

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 0

    | `- File list: /var/log/apache2/error.log /var/log/apache2/ssl_error.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Status for the jail: apache-fakegooglebot

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 1

    | `- File list: /var/log/apache2/other_vhosts_access.log /var/log/apache2/access.log /var/log/apache2/ssl_access.log

    `- Actions

    |- Currently banned: 1

    |- Total banned: 1

    `- Banned IP list: 89.163.140.178

    Status for the jail: apache-modsecurity

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 0

    | `- File list: /var/log/apache2/error.log /var/log/apache2/ssl_error.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Status for the jail: apache-nohome

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 0

    | `- File list: /var/log/apache2/error.log /var/log/apache2/ssl_error.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Status for the jail: apache-noscript

    |- Filter

    | |- Currently failed: 1

    | |- Total failed: 11

    | `- File list: /var/log/apache2/error.log /var/log/apache2/ssl_error.log

    `- Actions

    |- Currently banned: 1

    |- Total banned: 1

    `- Banned IP list: 199.195.253.105

    Status for the jail: apache-overflows

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 0

    | `- File list: /var/log/apache2/error.log /var/log/apache2/ssl_error.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Status for the jail: apache-shellshock

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 0

    | `- File list: /var/log/apache2/error.log /var/log/apache2/ssl_error.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Status for the jail: nextcloud

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 0

    | `- File list: /var/log/nextcloud.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Status for the jail: proftpd

    |- Filter

    | |- Currently failed: 9

    | |- Total failed: 32

    | `- File list: /var/log/proftpd/proftpd.log

    `- Actions

    |- Currently banned: 2

    |- Total banned: 6

    `- Banned IP list: 83.174.236.120 176.59.0.38

    Status for the jail: sshd

    |- Filter

    | |- Currently failed: 0

    | |- Total failed: 0

    | `- File list: /var/log/auth.log

    `- Actions

    |- Currently banned: 0

    |- Total banned: 0

    `- Banned IP list:

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Das geht aber leider nicht auf einem managed Server :no_sad:

    Brauchst du ja auch nicht. Das ist ja dann nicht dein Problem, sondern das Problem des Betreibers. Deswegen gibt es die managed Server, damit sich die Kunden nicht um die Sicherheit kümmern müssen.

  • Auf meiner Wordpress-Seite ist Wordfence installiert. Gerade heute wieder eine Auswertung des letzten Monats bekommen. 102 geblockte Attacken (Blocked for Known malicious User-Agents), 43 fehlgeschlagene Login-Versuche und massenweise geblockte IPs. Es ist schon Wahnsinn, was da so abgeht, wovon die wenigsten Webseitenbetreiber überhaupt etwas mitbekommen. Niemals never garnienicht würde ich einen Webserver bei mir zuhause betreiben. Erstmal fehlt das Wissen und dazu auch die Bereitschaft, ständig am Ball zu bleiben und Schwachstellen zu fixen. Das überlasse ich lieber den Profis und zahle auch gerne dafür.

  • Das überlasse ich lieber den Profis und zahle auch gerne dafür.

    Da bin ich genau auch bei Dir. Deshalb habe ich ja diesen Thread erstellt.

    Es ist eine Kleinigkeit lokal auf einer Raspi einen Webserver oder sonstigen Server (Nextcloud ist beliebt) zu installieren und die entsprechenden Ports im Router freizugeben. Welche latente Bedrohung man sich fuer das lokale Netz dadurch einhandelt ist offensichtlich wenigen bewusst wenn ich so sehe wie viele Threads sich hier um Probleme drehen, bei denen es sich um lokale aber oeffentlich zugaengliche Server dreht :-/

  • Wenn man einen Port im Netz öffnet und einen Dienst bereit stellt, egal welchen, muss man schon Wissen was man tut.
    Und selbst dann bleibt ein Restrisiko erhalten.
    Das Internet ist eben kaputt.

    Mir wird es auch manchmal Speiübel wenn ich hier lese was so alles mit welchem Wissen offen ans Internet gehangen wird.
    Mit ein Grund warum ich mich in Postings mittlerweile so rar mache.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Ich kann mich an ein Photo erinnern wo das Internetkabel in eine Black Box links reingeht und rechts das Kabel rauskommt zum Server. Auf dem folgenden Photo ist der Deckel von der Black Box entfernt und man sieht dass die beiden Kabel keine Verbindung haben :lol: Habe die beiden Photos leider nicht im Netz gefunden um sie zu verlinken :(

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!