Raspberry PI utanför brandväggen för att räkna "attacker"
Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:
Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.
Tackar!
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet? Och funkar det att köra på raspbian?
Skickades från m.sweclockers.com
Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.
Tack för svar!
Vad är skillnaden mellan webbaserade angrepp och fultrafik?
Skickades från m.sweclockers.com
Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:
Tack!
Hur skapar man en honeypot? Mitt mål är att ha någon sorts räknare på hemsidan som uppdateras direkt det skett en attack.
Skickades från m.sweclockers.com
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet?
I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.
Och funkar det att köra på raspbian?
Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.
Vad är skillnaden mellan webbaserade angrepp och fultrafik?
Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.
Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB
ot/3.0; +http://yandex.com/bots)"
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.
access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-"
access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"
INGEN ANING.
access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
Någon annan sökmotor som vill se vad som finns.
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"
Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.
access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
Någon kör @ErrataRobs scanningsverktyg.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej Bing! Kul att du ville indexera min sajt!
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
...
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"
what.
access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A
Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.
I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.
Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.
Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.
Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB
ot/3.0; +http://yandex.com/bots)"
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.
access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-"
access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"
INGEN ANING.
access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
Någon annan sökmotor som vill se vad som finns.
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"
Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.
access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
Någon kör @ErrataRobs scanningsverktyg.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej Bing! Kul att du ville indexera min sajt!
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
...
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"
what.
access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A
Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.
Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?
Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
"Server" är nog att ta i -- det är en alltid-på-dator i en garderob. Intel i3, 16 GB minne, litet towerkabinett.
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?
Om du har följande två direktiv någonstans i konfigurationsfilen för Apache HTTPd så kommer loggar liknande de i mitt exempel att skapas:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
CustomLog "logs/access_log" combined
Ovanstående ramsa skriver logg som är formatterad enligt ovan till filen logs/access_log. Notera att filnamnet pekar på en fil under den sk server-rooten, inte nörvändigtvis filsystemets rotkatalog. Om konfigurationsdirektivet ServerRoot t ex pekar på katalogen "/etc/httpd" så kommer loggfilen att skrivas till "/etc/httpd/logs/access_log".
Efter att du fått loggningen att funka är det bara att vänta. Tids nog kommer någon som letar efter apparater på internet med port 80 öppen att hitta din server och försöka sig på något. I de flesta fall går det att hitta någon googlingsbar snutt av den loggposten som deras försök gav upphov till.
Du skulle kunna sätta upp de vanligaste tjänsterna som används och se vart det sker mest attacker. Jag har massa inloggningsförsök via SSH och en hel del konstiga saker hittar jag i logfilen för min webserver, mer har jag inte öppet just nu.
- Idag ShowCase: Prestanda för pengarna med Nvidia Geforce RTX 4060 6
- Idag Apple kan släppa ny Ipad Pro med M4-krets 31
- Igår Intel skyller Raptor Lake-krascher på moderkortstillverkare 36
- Igår TSMC utvecklar enorma kretsar med effekt mätt i kilowatt 11
- Igår Så mycket långsammare blir Intels värstingkretsar med ”Intel Baseline” i BIOS 57
- 27 / 4 Stöd för komprimering i fler format på gång till Windows 19
- 27 / 4 Krönika: "Early access" är utstuderad girighet 55
- 27 / 4 Microsoft släpper källkoden till MS‑DOS 4.00 24
- 26 / 4 Ny caps lock-symbol i Windows förbryllar HP-användare 21
- 26 / 4 Därför blockerar Windows 11 24H2 Start‑menyhack 43
- Ryskt spelbolag sponsrar Dreamhack-turneringar1
- Google nöjda med annonsexperiment: Youtube kan få pausreklam52
- Snabbkoll: Använder du VPN-tjänster?37
- Konsol åt 10-åring20
- Home Assistant - Hur kommer man igång?16
- Söker ett tangentbord liknande K7405
- Escape from Tarkov397
- Fallout 4 Next Gen – Update Notes7
- Vilket VR-headset ska jag köpa?887
- [LEK] Gissa spelet15523
- Säljes Serverdelar Asus C621 Sage + x2 Intel Xeon Gold 6138 + 256GB DDR4 ECC + Noctua CPU Kylare
- Köpes Letar efter ryzen 5700x3d eller 5800x3d
- Säljes Nvidia Quadro P2000 5GB (PNY)
- Säljes LG 27GP850-B, AOC Q27G2S, headset
- Säljes Dell Latitude 7530 15,6”
- Säljes Samsung Odyssey 49" 120hz
- Säljes Playstation 5 + 2 dualshock + 2 spel
- Säljes Budget dator stationär
- Säljes Prusa mk4, 3st build plates, 11 rullar filament
- Säljes Server/NAS (Supermicro X9SRi-f / Xeon E5-1620v2 / Fractal Design R5)
- Ryskt spelbolag sponsrar Dreamhack-turneringar0
- ShowCase: Prestanda för pengarna med Nvidia Geforce RTX 40606
- Snabbkoll: Använder du VPN-tjänster?37
- Telenor stoppar fulstreaming för sina kunder49
- Därför är Googles sökresultat sämre idag40
- Apple kan släppa ny Ipad Pro med M4-krets32
- Google nöjda med annonsexperiment: Youtube kan få pausreklam52
- Intel skyller Raptor Lake-krascher på moderkortstillverkare36
- TSMC utvecklar enorma kretsar med effekt mätt i kilowatt11
- Så mycket långsammare blir Intels värstingkretsar med ”Intel Baseline” i BIOS57