Raspberry PI utanför brandväggen för att räkna "attacker"
Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:
Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.
Tackar!
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet? Och funkar det att köra på raspbian?
Skickades från m.sweclockers.com
Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.
Tack för svar!
Vad är skillnaden mellan webbaserade angrepp och fultrafik?
Skickades från m.sweclockers.com
Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:
Tack!
Hur skapar man en honeypot? Mitt mål är att ha någon sorts räknare på hemsidan som uppdateras direkt det skett en attack.
Skickades från m.sweclockers.com
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet?
I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.
Och funkar det att köra på raspbian?
Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.
Vad är skillnaden mellan webbaserade angrepp och fultrafik?
Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.
Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB
ot/3.0; +http://yandex.com/bots)"
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.
access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-"
access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"
INGEN ANING.
access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
Någon annan sökmotor som vill se vad som finns.
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"
Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.
access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
Någon kör @ErrataRobs scanningsverktyg.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej Bing! Kul att du ville indexera min sajt!
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
...
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"
what.
access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A
Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.
I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.
Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.
Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.
Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB
ot/3.0; +http://yandex.com/bots)"
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.
access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-"
access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"
INGEN ANING.
access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
Någon annan sökmotor som vill se vad som finns.
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"
Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.
access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
Någon kör @ErrataRobs scanningsverktyg.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej Bing! Kul att du ville indexera min sajt!
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
...
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"
what.
access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A
Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.
Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?
Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
"Server" är nog att ta i -- det är en alltid-på-dator i en garderob. Intel i3, 16 GB minne, litet towerkabinett.
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?
Om du har följande två direktiv någonstans i konfigurationsfilen för Apache HTTPd så kommer loggar liknande de i mitt exempel att skapas:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
CustomLog "logs/access_log" combined
Ovanstående ramsa skriver logg som är formatterad enligt ovan till filen logs/access_log. Notera att filnamnet pekar på en fil under den sk server-rooten, inte nörvändigtvis filsystemets rotkatalog. Om konfigurationsdirektivet ServerRoot t ex pekar på katalogen "/etc/httpd" så kommer loggfilen att skrivas till "/etc/httpd/logs/access_log".
Efter att du fått loggningen att funka är det bara att vänta. Tids nog kommer någon som letar efter apparater på internet med port 80 öppen att hitta din server och försöka sig på något. I de flesta fall går det att hitta någon googlingsbar snutt av den loggposten som deras försök gav upphov till.
Du skulle kunna sätta upp de vanligaste tjänsterna som används och se vart det sker mest attacker. Jag har massa inloggningsförsök via SSH och en hel del konstiga saker hittar jag i logfilen för min webserver, mer har jag inte öppet just nu.
- Idag Fury GPU – grafikkortet med öppen design och kod 5
- Idag Foton visar vit Xbox Series X utan optisk läsare 13
- Igår Quiz: Har du koll på det senaste inom processorkylare? 78
- Igår Cooler Master Ncore 100 Max – lättbyggt minstingchassi 12
- 27 / 3 Nytt vetenskapligt genombrott kan lösa OLED-inbränning 51
- Igår Ny RAM-sparande funktion upptäckt i Microsoft Edge 13
- Igår Så byter du till gamla Notepad i Windows 11 39
- Igår Microsoft Copilot kan snart köras direkt på datorn 14
- 27 / 3 Stort steg för Windows på ARM: Google släpper optimerat Chrome 26
- 27 / 3 Xbox-chef är öppen för fler spelbutiker på konsol 23
- Ubiquiti Unifi2608
- Audio pro Sw-5 felkopplad?9
- Microsoft Copilot kan snart köras direkt på datorn15
- Så byter du till gamla Notepad i Windows 1140
- bygga dator, köpa en komponent i taget i några månader, köpråd av delarna.30
- Fury GPU – grafikkortet med öppen design och kod5
- Kolla stugans webbkamera hemifrån5
- Montering av Ryzen: 5800X3D på ett MSI X470 GAMING PRO ( Första gången, rekommentation och tips, så kan förbereda mig, innan sätter igång )11
- FS2020 = Vr Headsett +Extern kamera9
- Tråden om PlayStation 514504
- Säljes 4000d låda + ttillbehör
- Säljes Massa spelkoder till salu
- Säljes Samsung Soundbar HW-C410/XE (NY!)
- Säljes RTX 4090
- Säljes MSI RTX 4090 Gaming X Trio
- Säljes RTX 2070S, GTX 660, RX 3700x, Fractal Design Meshify
- Säljes Homelab Server
- Köpes Söker 24-25" 240hz+ 1080p. Ev byte mot 1440p 165hz
- Köpes Desktop/"server"/Workstation, 128gb RAM (t.ex. LGA 2011-system) eller delar till sådant system
- Säljes Playstation 5 - Digital Edition
- Fury GPU – grafikkortet med öppen design och kod5
- Helgsnack: Tipsa om tidsfördriv på nätet19
- Foton visar vit Xbox Series X utan optisk läsare13
- Ny RAM-sparande funktion upptäckt i Microsoft Edge13
- Quiz: Har du koll på det senaste inom processorkylare?78
- Svenska Embracer säljer Gearbox för 4,9 miljarder kronor16
- Cooler Master Ncore 100 Max – lättbyggt minstingchassi12
- Var femte användare har lämnat X sedan Musk tog över161
- Så byter du till gamla Notepad i Windows 1140
- Microsoft Copilot kan snart köras direkt på datorn15