Raspberry PI utanför brandväggen för att räkna "attacker"

Trädvy Permalänk
Medlem
Registrerad
Mar 2012

Raspberry PI utanför brandväggen för att räkna "attacker"

Hej!
Ska imorgon lämna in mitt preliminära gymnasiearbetsämne och min ide just nu är att sätta upp en Raspberry Pi som webserver men att låta alla portar vara öppna mot den och sedan räkna hur många "attacker" den utsätts för på en hemsida som Raspberryn också hostar. Är detta möjligt och vad är bra sökord för att jag ska kunna skapa mig en uppfattning av vad jag behöver göra?

Om jag postat i fel kategori får moderator gärna flytta tråden.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Maj 2013

Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:

https://github.com/desaster/kippo

Trädvy Permalänk
Medlem
Registrerad
Jan 2014

Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Hieronymus Bosch:

Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.

Tackar!
Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet? Och funkar det att köra på raspbian?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Hieronymus Bosch:

Intrångsdetektering? Vill du bara titta närmare på webbaserade angrepp eller är alla former av fultrafik intressant?
Det brukar gå ganska snabbt att samla på sig en bunt olika angrepp med bara en Apache på port 80 med lite utökad loggning. För allt annat finns Snort.

Tack för svar!
Vad är skillnaden mellan webbaserade angrepp och fultrafik?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Aene:

Låter som du vill ha en honeypot. Osäker på vad som finns för webservrar, men för t.ex. ssh finns Kippo:

https://github.com/desaster/kippo

Tack!
Hur skapar man en honeypot? Mitt mål är att ha någon sorts räknare på hemsidan som uppdateras direkt det skett en attack.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Jan 2014
Skrivet av queri:

Kan du förklara lite mer ingående hur man går tillväga med snort, vad gör programmet?

I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.

Citat:

Och funkar det att köra på raspbian?

Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.

Skrivet av queri:

Vad är skillnaden mellan webbaserade angrepp och fultrafik?

Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.

Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:

access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB ot/3.0; +http://yandex.com/bots)" access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"

Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.

access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-" access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"

INGEN ANING.

access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)" access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"

Någon annan sökmotor som vill se vad som finns.

access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-" access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"

Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.

access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

Någon kör @ErrataRobs scanningsverktyg.

access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"

Hej Bing! Kul att du ville indexera min sajt!

access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"

Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.

access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"

...

access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-" access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-" access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"

what.

access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A

Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Hieronymus Bosch:

I grunden är Snort ett program som loggar inkommande paket, men det går även att konfigurera det för att detektera särskilda typer av angrepp (som kartläggning av vilka portar som är öppna på din server, nätverkstrafik avsedd att ge ledtrådar om vilket OS som körs) samt logga dessa.

Ja, men jag tror inte att det finns färdiga installationspaket för Snort i Raspbian.

Åh, jag tänkte mig alla andra sorters angrepp, som försök att använda en mailserver som körs på hallonpajen för att sprida spam, inloggningsförsök via ssh och annat bus.

Jag hade nog börjat med en webserver (t ex Apache) och lite loggning. Så här ser det ut på en av mina maskiner en vanlig söndag:

access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:14 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "Mozilla/5.0 (compatible; YandexB ot/3.0; +http://yandex.com/bots)" access_log-20150329:5.255.253.222 - - [22/Mar/2015:04:43:17 +0100] "GET /static/webcore/images/favicon.png HTTP/1.1" 200 441 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"

Rysk sökmotor vill indexera min sajt och hämtar därför filen robots.txt, som innehåller hjälp för sökmotorer som vill kolla igenom innehållet på sajten.

access_log-20150329:201.76.164.178 - - [22/Mar/2015:05:02:39 +0100] "HEAD / HTTP/1.0" 301 - "-" "-" access_log-20150329:148.251.77.34 - - [22/Mar/2015:05:06:14 +0100] "GET / HTTP/1.1" 301 228 "http://pizza-tycoon.de/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36"

INGEN ANING.

access_log-20150329:217.69.133.242 - - [22/Mar/2015:06:11:34 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)" access_log-20150329:217.69.133.245 - - [22/Mar/2015:06:11:35 +0100] "GET /development HTTP/1.1" 301 239 "-" "Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http://go.mail.ru/help/robots)"

Någon annan sökmotor som vill se vad som finns.

access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:16 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 226 "-" "-" access_log-20150329:50.244.71.83 - - [22/Mar/2015:06:34:21 +0100] "GET / HTTP/1.1" 400 226 "-" "-"

Det här ser ut som någon form av jävelskap. Någon kollar om det går att komma åt ett körbart program som heter tmUnblock.cgi, troligtvis i syfte att utnyttja en sårbarhet i programmet.

access_log-20150329:61.240.144.67 - - [22/Mar/2015:07:02:52 +0100] "GET / HTTP/1.0" 301 228 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

Någon kör @ErrataRobs scanningsverktyg.

access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:20:00 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"

Hej Bing! Kul att du ville indexera min sajt!

access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:26:35 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"

Hej igen Bing! Om det hänt något särskilt? Nej, min robots.txt ser nog likadan ut som för sex och en halv minut sedan.

access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:29 +0100] "GET /robots.txt HTTP/1.1" 301 238 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" access_log-20150329:207.46.13.102 - - [22/Mar/2015:07:38:33 +0100] "GET / HTTP/1.1" 301 228 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"

...

access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:23 +0100] "GET / HTTP/1.1" 400 26 "-" "-" access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:25 +0100] "GET /robots.txt HTTP/1.1" 404 208 "-" "-" access_log-20150329:198.20.69.74 - - [22/Mar/2015:08:19:34 +0100] "quit" 403 1465 "-" "-"

what.

access_log-20150329:37.230.114.209 - - [22/Mar/2015:08:39:52 +0100] "GET /forum/ HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) A

Någon försöker lista ut om jag kör...phpBB, gissar jag. Säkert inte med några goda avsikter.

Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?
För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?

Trädvy Permalänk
Medlem
Registrerad
Jan 2014
Skrivet av queri:

Fränt!
Tack för ett riktigt bra och uttömmande inlägg!
Kör du också på en Raspberry Pi eller kör du en vanlig traditionell webbserver?

"Server" är nog att ta i -- det är en alltid-på-dator i en garderob. Intel i3, 16 GB minne, litet towerkabinett.

Citat:

För övrigt undrar jag hur mycket det finns att läsa om detta på nätet då det antagligen kommer att vara där jag primärt kommer att få söka information, och är det svårt att komma igång?

Om du har följande två direktiv någonstans i konfigurationsfilen för Apache HTTPd så kommer loggar liknande de i mitt exempel att skapas:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined CustomLog "logs/access_log" combined

Ovanstående ramsa skriver logg som är formatterad enligt ovan till filen logs/access_log. Notera att filnamnet pekar på en fil under den sk server-rooten, inte nörvändigtvis filsystemets rotkatalog. Om konfigurationsdirektivet ServerRoot t ex pekar på katalogen "/etc/httpd" så kommer loggfilen att skrivas till "/etc/httpd/logs/access_log".

Efter att du fått loggningen att funka är det bara att vänta. Tids nog kommer någon som letar efter apparater på internet med port 80 öppen att hitta din server och försöka sig på något. I de flesta fall går det att hitta någon googlingsbar snutt av den loggposten som deras försök gav upphov till.

Trädvy Permalänk
Medlem
Plats
Järfälla
Registrerad
Jan 2004

Du skulle kunna sätta upp de vanligaste tjänsterna som används och se vart det sker mest attacker. Jag har massa inloggningsförsök via SSH och en hel del konstiga saker hittar jag i logfilen för min webserver, mer har jag inte öppet just nu.