1awww.com - Forum
Oktober 12, 2008, 12:50:17 am *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Just Installed!
 
   Übersicht   Hilfe Suche Einloggen Registrieren  
1awww.com - Forum > 1awww > Sicherheit bei Servern > Angriffe erkennen > Log-Files intensiv untersuchen
Seiten: [1]
« vorheriges nächstes »
  Drucken  
Autor Thema: Log-Files intensiv untersuchen  (Gelesen 13 mal)
admin
1awww.com ISP
Administrator
Newbie
*****
Offline Offline

Beiträge: 13


Profil anzeigen WWW
« am: Januar 22, 2008, 11:13:24 pm »
Die Log - Files sind das ahhh und ohhh Ihrer Server, ob nun vServer, virutell dediziere Server, dedizierte Server oder Ihr eigener Windows-Client - diese Untersuchung ist immer dann besonders interessant, wenn schon Probleme aufgetaucht sind. Nichts desto trozt stehen Sie ABER bereits mit einem "Fuß im Knast", wenn Sie Angreifern die Möglichkeit geben, Ihren Computer oder Server zu verwenden, um von dort aus Angriffe auf andere Systeme zu ermöglichen!

Deshalb sollten Sie in jedem Fall Ihre Log-Files in regelmäßigen Abständen durchforschen und kontrollieren.

Aus der Praxis heraus, entstehen dann folgende Fragen:

a) Wie kann es angehen, daß mein Mail-System, obwohl so gut abgesichert, plötzlich zig 1000ende Mails verschickt, ohne daß neue Mails eingehen?
b) Ich glaub es nicht, aber ständig nur "Memory allocation error" und die Prozesse schmieren ab
c) 570 FTP-Angriffe "FTP-User or Password invalid" innerhalb von 45 Minuten - was ist denn da los?

und dann enstehend auch Log-Einträge, die überhaupt nichts bedeuten, weil bestimmte Überwachungsprogramme, dieses Verhalten einfach haben.

UM IHNEN DAS EINFACH MAL KLIPP UND KLAR ZU MACHEN, WIE TRIVIAL (einfach) MANCHE PROBLEM SIND:

Lt. Ihrer Log-Files, wird Ihr Mail-Server von einer oder mehrerer IPs überflutet! Ihr Server verweigert den Dienst - Sie sind genervt, es ist Sonntag, Sie sind am Programmieren von neuen, schönen Programmen, Webseiten etc. - u nd dann erhalten Sie eine Mail (via automatischer Abruf-Aktualisierung alle 5 Minuten): Ihre Mail konnte nicht zugestellt werden! .... und beim Speichern Ihrer Seite erhalte Sie von Ihrem eigenen Server, der ja nicht mehr erreichbar ist - durch den Web-Explorer: "Seite nicht abrufbar" - dabei haben Sie ja nur gespeichert - scheiße alles w-e-ch!

Also, Sie sind kurz vorm "Explodiren", denn an Ihrem Bericht haben Sie bereits 2 Stunden gearbeitet - und Sie wissen, der "Rückwärts-Button" in Ihrem Explorer fordert Sie nur noch auf, die vorherige Seite neu zu senden - damit ist wirklich alles "w-e-ch"!

Klar, nun sind Sie "sauer" - Säuregrad "98%" - und Sie suchen - und Sie finden - der Angreifer muß es sein! Dennoch wird jeder Zugriff zu Ihrem Server verwehrt - kein Problem, ich reboote meinen Server (meist über das Master-ISP-Configuration-Panel) - Ihr Server ist wieder erreichbar - ... und nun wirken ein paar Biere, die Sie genossen haben ... wo ist am Sonntag das Problem? ... das steht Ihnen doch zu ... andere werten das anders!

Also, schreiben Sie fein, wie es sich gehört, auf Ihre Webseite "Du blöder Angreifer, wie kriegen Dich schon" .... und verweisen in eine Nebenseite, klar mit dem Hintergrund, daß Sie diese Seite jederzeit wieder löschen können! Nachdem Sie Ihre Webseite auch noch auf "NOINDEX" <--- gut für Suchmaschinen editiert haben, denn Sie wollen ja den Angreifer ausfindig machen, haben Sie eigentlich alles getan, um eine angreifende Provokation und auch ein weiteres Verhalten dieses Angreifers zu dokumentieren - soweit - so gut ... doch später wird Ihnen Ihr Kommentar, der nur wenige Stunden abrufbar war, zum Verhängnis werden - dazu mehr -> später !

Nun kommen wir zum eigentlichen Thema zurück:

Also, Sie wälzen in Ihren Log-Files und finden den Zusammenhang nicht, es war auch nicht einfach, die Zusammenhänge bei uns zu klären und wir haben uns nun wirklich schon mit den Log-Files auseinader gesetzt und dann an einem Sonntag - wo eigentlich keiner arbeitet - und wir lieber auch ein paar Biere genossen haben!

Sie sind aber auch Ihren Kunden und sich selbst verpflichtet:
Also - egal, ob Sonntag - egal mit Bier - oder ohne - Sie suchen! .... und Sie werden dann in vielen Stunden finden:
Auslöser: ein gewiefter Angreifer, der viel Werbung verschickt, hat insbesondere die Mail-Adressen verwendet und gescannt mit Spam-Werbung, auf die ein Auto-Responder geantwortet hat. Also in einfachen Worten: Ein Massenversender hat Mails versendet und abgewartet, welcher Account via Autoresponder eine Annahme z.B. verweigert oder die Mail-Adresse nicht mehr existiert. Diese Person / Firma hat dann ebenfalls die Rückmeldungen von Autorespondern anderer Firmen/Server gegenüber gestellt und hat zusätzlich ermittelt, wer von den Rücksendern, einen nicht so gut abgesicherten Mail-Verkehr zuläßt. ... und diese Informationen wurden verwendet...

Sende eine Mail mit falscher Mail-Adresse an Firma 1 -> akzeptiert -> sende weiter an Mail@1awww.com -> autoresponder -> zurück an Sender -> Firma1-Autoresponder "wir kennen den Absender nicht" -> Mail@1awww.com -> .... Kette verstanden? .... innerhalb von wenigen Stunden wurden mehr als 100.000 Mails zwischen 3 Servern hin und her versendet ohne irgendwelche Gründe und die Logs explodierten ! Versuchen Sie mal ein Log-File zu öffnen, daß 150 Mega-Byte groß ist, wenn der Server eh schon überlastet ist!  ---> keine Chance!

Deshalb sollten Sie Log-Files ständig überwachen und weitere freie Utilitys verwenden!
« Letzte Änderung: Januar 22, 2008, 11:21:42 pm von admin » Gespeichert
Grüße

Detlef
auch interessant Final-Sell, für eBay-Verkäufer
http://www.final-sell.com
Admin von http://www.1awww.com
Seiten: [1]
  Drucken  
« vorheriges nächstes »
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.4 | SMF © 2006, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.331 Sekunden mit 17 Zugriffen.