Raspberry PI utanför brandväggen för att räkna "attacker"
Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:
Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.
Tackar!
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet? Och funkar det att köra på raspbian?
Skickades från m.sweclockers.com
Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.
Tack för svar!
Vad är skillnaden mellan webbaserade angrepp och fultrafik?
Skickades från m.sweclockers.com
Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:
Tack!
Hur skapar man en honeypot? Mitt mål är att ha någon sorts räknare på hemsidan som uppdateras direkt det skett en attack.
Skickades från m.sweclockers.com
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet?
I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.
Och funkar det att köra på raspbian?
Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.
Vad är skillnaden mellan webbaserade angrepp och fultrafik?
Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.
Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB
ot/3.0; +http://yandex.com/bots)"
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.
access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-"
access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"
INGEN ANING.
access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
Någon annan sökmotor som vill se vad som finns.
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"
Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.
access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
Någon kör @ErrataRobs scanningsverktyg.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej Bing! Kul att du ville indexera min sajt!
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
...
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"
what.
access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A
Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.
I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.
Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.
Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.
Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB
ot/3.0; +http://yandex.com/bots)"
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.
access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-"
access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"
INGEN ANING.
access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
Någon annan sökmotor som vill se vad som finns.
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"
Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.
access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
Någon kör @ErrataRobs scanningsverktyg.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej Bing! Kul att du ville indexera min sajt!
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
...
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"
what.
access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A
Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.
Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?
Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
"Server" är nog att ta i -- det är en alltid-på-dator i en garderob. Intel i3, 16 GB minne, litet towerkabinett.
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?
Om du har följande två direktiv någonstans i konfigurationsfilen för Apache HTTPd så kommer loggar liknande de i mitt exempel att skapas:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
CustomLog "logs/access_log" combined
Ovanstående ramsa skriver logg som är formatterad enligt ovan till filen logs/access_log. Notera att filnamnet pekar på en fil under den sk server-rooten, inte nörvändigtvis filsystemets rotkatalog. Om konfigurationsdirektivet ServerRoot t ex pekar på katalogen "/etc/httpd" så kommer loggfilen att skrivas till "/etc/httpd/logs/access_log".
Efter att du fått loggningen att funka är det bara att vänta. Tids nog kommer någon som letar efter apparater på internet med port 80 öppen att hitta din server och försöka sig på något. I de flesta fall går det att hitta någon googlingsbar snutt av den loggposten som deras försök gav upphov till.
Du skulle kunna sätta upp de vanligaste tjänsterna som används och se vart det sker mest attacker. Jag har massa inloggningsförsök via SSH och en hel del konstiga saker hittar jag i logfilen för min webserver, mer har jag inte öppet just nu.
- Idag Apple kan släppa ny Ipad Pro med M4-krets 28
- Igår Intel skyller Raptor Lake-krascher på moderkortstillverkare 34
- Igår TSMC utvecklar enorma kretsar med effekt mätt i kilowatt 11
- Igår Så mycket långsammare blir Intels värstingkretsar med ”Intel Baseline” i BIOS 56
- 26 / 4 Corsair Platform 6: För dig som inte nöjer dig med Ikea-skrivbord 11
- 27 / 4 Stöd för komprimering i fler format på gång till Windows 19
- 27 / 4 Krönika: "Early access" är utstuderad girighet 54
- 27 / 4 Microsoft släpper källkoden till MS‑DOS 4.00 24
- 26 / 4 Ny caps lock-symbol i Windows förbryllar HP-användare 21
- 26 / 4 Därför blockerar Windows 11 24H2 Start‑menyhack 43
- Telenor stoppar fulstreaming för sina kunder8
- Därför är Googles sökresultat sämre34
- Google nöjda med annonsexperiment: Youtube kan få pausreklam51
- Separat skärm att ställa vertikalt: vad att tänka på?2
- Köpråd åt en "återfallsgubbe"! Vänta på 5000 serie eller ej?9
- Plats för lite gubbgnäll9762
- Vad lyssnar du på just nu?13905
- Köpråd5
- PSU EPS12v 2x4-pin till ATX12v 8-pin hjälp?6
- Bytt cpu, skärmar startar inte17
- Säljes Prusa mk4, 3st build plates, 11 rullar filament
- Säljes Server/NAS (Supermicro X9SRi-f / Xeon E5-1620v2 / Fractal Design R5)
- Säljes Fractal Design Define 7 compact dark tint
- Säljes MSI Katana 15 - i7 | 16GB | 1TB | RTX 4070
- Säljes Dell UltraSharp U2723QE 27" 4K UHD IPS
- Säljes Nybyggd Vattenkyld Dator
- Säljes 4070 TI i5 13400f Dator
- Säljes ASUS ROG Strix 3080 10GB White
- Säljes CoD MW3 ps5 inkl lockpick, Noctua NH-U12S AM4, DAC och HDD
- Säljes Elgato Wave 3 mikrofon
- Telenor stoppar fulstreaming för sina kunder8
- Därför är Googles sökresultat sämre34
- Apple kan släppa ny Ipad Pro med M4-krets28
- Google nöjda med annonsexperiment: Youtube kan få pausreklam51
- Intel skyller Raptor Lake-krascher på moderkortstillverkare34
- TSMC utvecklar enorma kretsar med effekt mätt i kilowatt11
- Så mycket långsammare blir Intels värstingkretsar med ”Intel Baseline” i BIOS56
- Stöd för komprimering i fler format på gång till Windows19
- Krönika: "Early access" är utstuderad girighet54
- Övergivet skadeprogram infekterar miljontals maskiner20