Raspberry PI utanför brandväggen för att räkna "attacker"
Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:
Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.
Tackar!
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet? Och funkar det att köra på raspbian?
Skickades från m.sweclockers.com
Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.
Tack för svar!
Vad är skillnaden mellan webbaserade angrepp och fultrafik?
Skickades från m.sweclockers.com
Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:
Tack!
Hur skapar man en honeypot? Mitt mål är att ha någon sorts räknare på hemsidan som uppdateras direkt det skett en attack.
Skickades från m.sweclockers.com
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet?
I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.
Och funkar det att köra på raspbian?
Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.
Vad är skillnaden mellan webbaserade angrepp och fultrafik?
Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.
Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB
ot/3.0; +http://yandex.com/bots)"
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.
access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-"
access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"
INGEN ANING.
access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
Någon annan sökmotor som vill se vad som finns.
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"
Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.
access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
Någon kör @ErrataRobs scanningsverktyg.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej Bing! Kul att du ville indexera min sajt!
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
...
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"
what.
access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A
Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.
I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.
Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.
Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.
Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB
ot/3.0; +http://yandex.com/bots)"
access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.
access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-"
access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"
INGEN ANING.
access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"
Någon annan sökmotor som vill se vad som finns.
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-"
access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"
Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.
access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
Någon kör @ErrataRobs scanningsverktyg.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej Bing! Kul att du ville indexera min sajt!
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
...
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-"
access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"
what.
access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A
Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.
Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?
Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
"Server" är nog att ta i -- det är en alltid-på-dator i en garderob. Intel i3, 16 GB minne, litet towerkabinett.
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?
Om du har följande två direktiv någonstans i konfigurationsfilen för Apache HTTPd så kommer loggar liknande de i mitt exempel att skapas:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
CustomLog "logs/access_log" combined
Ovanstående ramsa skriver logg som är formatterad enligt ovan till filen logs/access_log. Notera att filnamnet pekar på en fil under den sk server-rooten, inte nörvändigtvis filsystemets rotkatalog. Om konfigurationsdirektivet ServerRoot t ex pekar på katalogen "/etc/httpd" så kommer loggfilen att skrivas till "/etc/httpd/logs/access_log".
Efter att du fått loggningen att funka är det bara att vänta. Tids nog kommer någon som letar efter apparater på internet med port 80 öppen att hitta din server och försöka sig på något. I de flesta fall går det att hitta någon googlingsbar snutt av den loggposten som deras försök gav upphov till.
Du skulle kunna sätta upp de vanligaste tjänsterna som används och se vart det sker mest attacker. Jag har massa inloggningsförsök via SSH och en hel del konstiga saker hittar jag i logfilen för min webserver, mer har jag inte öppet just nu.
- Igår Airtec Pro Type1 – batteridrivet alternativ till tryckluft på burk 46
- Igår Nu stiger hårddiskpriserna med uppemot 10 procent 14
- Igår Analytiker: Apple har överskattat intresset för Vision Pro 50
- 24 / 4 AMD, Nvidia och Intel – vad är det för skillnad mellan grafikkortstillverkarna? 26
- 24 / 4 Testpilot: MSI MPG 271QRX - Färgsprakande OLED i 360 Hz 13
- måste hdd monteras åt ett visst håll?1
- Wordle på svenska - ordlig.se7855
- Fläkt 25 x25 mm19
- Oskäligt negativt omdöme Tradera23
- Epic games nere?0
- Nu stiger hårddiskpriserna med uppemot 10 procent14
- Vart får man tag på halvantika processorer nuförtiden?20
- Formel 1-tråden8889
- Konsumentverket granskar tio nätbutiker som lurat kunder11
- Fallout 4 Next Gen – Update Notes0
- Köpes Luftkylning och Fläktar
- Köpes Nvidia Quadro P400,600 eller 620
- Säljes Dell Latitude 7530 15,6”
- Köpes Önskar köpa 6700xt eller 3070
- Säljes Asus Geforce RTX 2070 8GB Strix Gaming OC
- Köpes Köper bärbara datorer, trasiga, utan skärm etc.
- Säljes Lenovo Thinkcentre M73
- Säljes Lenovo Legion Slim 5 14” OLED
- Säljes Asus VG248 24"
- Säljes AMD Ryzen 5 3400G inkl kylare
- Konsumentverket granskar tio nätbutiker som lurat kunder11
- Airtec Pro Type1 – batteridrivet alternativ till tryckluft på burk46
- Nintendo-innehåll tas bort från Garrys Mod17
- Nu stiger hårddiskpriserna med uppemot 10 procent14
- Quiz: Vad kan du om Inet?68
- Analytiker: Apple har överskattat intresset för Vision Pro50
- Microsoft rullar ut Startmenyreklam till alla59
- EU röstar igenom ”rätten att reparera”53
- Viaplay sätter ner foten mot delade konton55
- AMD, Nvidia och Intel – vad är det för skillnad mellan grafikkortstillverkarna?26