Discussion:
poort 25 via http://
(te oud om op te antwoorden)
m@rinu$
2010-04-12 07:43:55 UTC
Permalink
hallo allen,

ik zie met regelmaat in mijn access.log de volgende regels:

125.224.195.138 - - [09/Apr/2010:04:22:12 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [10/Apr/2010:21:57:39 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [11/Apr/2010:08:22:42 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.197.145 - - [12/Apr/2010:04:20:15 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
inetnum: 125.224.0.0 - 125.231.255.255
netname: HINET-NET
country: TW
descr: CHTD, Chunghwa Telecom Co.,Ltd.
descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd.
descr: Taipei Taiwan 100
admin-c: HN27-AP
tech-c: HN28-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-TW-TWNIC
mnt-lower: MAINT-TW-TWNIC
mnt-routes: MAINT-TW-TWNIC
changed: hm-***@apnic.net 20051018

inetnum: 203.188.200.0 - 203.188.203.255
netname: YAHOO-MAIL
descr: Yahoo! Taiwan, Teipei, Taiwan

zijn er meer onder jullie die van bovengenoemd ipadres last hebben op
dezelfde manier en wat kan ik er tegen doen.

ik heb al heel wat ipranges in mijn fw gezet maar op de een of andere
manier werkt het niet naar wens.

$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.193.12/24 -j DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.194.112/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.195.128/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.196.158/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.197.226/24 -j
DROP


na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25


M.v.g.,
***@rinu$


http://www.m31galaxy.nl
Bas Janssen
2010-04-12 08:12:48 UTC
Permalink
Post by ***@rinu$
hallo allen,
125.224.195.138 - - [09/Apr/2010:04:22:12 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [10/Apr/2010:21:57:39 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [11/Apr/2010:08:22:42 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.197.145 - - [12/Apr/2010:04:20:15 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
inetnum: 125.224.0.0 - 125.231.255.255
netname: HINET-NET
country: TW
descr: CHTD, Chunghwa Telecom Co.,Ltd.
descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd.
descr: Taipei Taiwan 100
admin-c: HN27-AP
tech-c: HN28-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-TW-TWNIC
mnt-lower: MAINT-TW-TWNIC
mnt-routes: MAINT-TW-TWNIC
inetnum: 203.188.200.0 - 203.188.203.255
netname: YAHOO-MAIL
descr: Yahoo! Taiwan, Teipei, Taiwan
zijn er meer onder jullie die van bovengenoemd ipadres last hebben op
dezelfde manier en wat kan ik er tegen doen.
ik heb al heel wat ipranges in mijn fw gezet maar op de een of andere
manier werkt het niet naar wens.
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.193.12/24 -j DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.194.112/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.195.128/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.196.158/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.197.226/24 -j
DROP
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?

Overigens kan je dit soort IP ranges best toegang tot *alle* poorten
ontzeggen. (tenzij je bijv zaken doet met die landen, of zelf klanten host)

Tip, gebruik een firewall management programma zoals bijvoorbeeld:

shorewall:
http://www.shorewall.net/

firehol
http://firehol.sourceforge.net/

Deze komen vaak met makkelijke 'blacklist' functies/files. Scheelt weer
een hoop firewall regeltjes intypen en bijhouden.

Daarnaast kan je met bijvoorbeeld 'fail2ban' dit soort 'abuse' afvangen
en ip's die dit soort kunstjes flikken direct, volautomatisch blacklisten.

http://www.fail2ban.org/

Daarnaast kan je met deze site vrij handig (htaccess) blocklists maken
gebaseerd op geoIP.

http://www.blockacountry.com/

Let wel dat dit soort services qua effect vaak afhankelijk zijn van hoe
goed de eigenaar zijn ip lijsten bijhoudt.
--
Bas Janssen /. ***@dds.nl /. www.bas.dds.nl /. PGP#0x22FA2C9F

If the above does not make sense, I had a Gibberish Protection Fault
m@rinu$
2010-04-12 08:43:49 UTC
Permalink
Post by Bas Janssen
Post by ***@rinu$
hallo allen,
125.224.195.138 - - [09/Apr/2010:04:22:12 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [10/Apr/2010:21:57:39 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [11/Apr/2010:08:22:42 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.197.145 - - [12/Apr/2010:04:20:15 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
~
~
Post by Bas Janssen
Post by ***@rinu$
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?
nee, heb ik niet. zou ik eens kunnen uitproberen
Post by Bas Janssen
Overigens kan je dit soort IP ranges best toegang tot *alle* poorten
ontzeggen. (tenzij je bijv zaken doet met die landen, of zelf klanten host)
ok, doe ik.
Post by Bas Janssen
http://www.shorewall.net/
shorewall heb ik ook al eens ingezet al fw
wat ik overigens ook wel een goeie vind
maar niet met dit soort situaties
Post by Bas Janssen
firehol
http://firehol.sourceforge.net/
Deze komen vaak met makkelijke 'blacklist' functies/files. Scheelt weer
een hoop firewall regeltjes intypen en bijhouden.
ik ga die blacklist functies / files eens nader bestuderen m.b.t.
bovengenoemde lastpakken.
Post by Bas Janssen
Daarnaast kan je met bijvoorbeeld 'fail2ban' dit soort 'abuse' afvangen
en ip's die dit soort kunstjes flikken direct, volautomatisch blacklisten.
met fail2ban ben ik ook al enige tijd bezig en heb tot dusver nog niet
echt een effectieve *.conf / filter in /etc/fail2ban/filter.d of
/etc/fail2ban/action.d/*.* kunnen vinden die van toepassing kan zijn op
bovengenoemd probleem.

wel ben ik aan het testen met de bekende D Scans van w00tw00t maar tot
dusver heeft dat voor mij ook nog niet het gewenste resultaat opgeleverd
hiervoor ben ik ook nog aan het zoeken naar het juiste effect m.b.t. tot
filter / action o.i.d.


[apache-w00tw00t]

enabled = true
filter = apache-w00tw00t
action = iptables-allports[name=w00tw00t]
# mail-whois[name=w00tw00t, dest=***************]
#logpath = /var/log/apache2/access.log
logpath = /home/xxxxx/log/access.log
maxretry = 1
bantime = 86400

en uiteraard ook in /etc/fail2ban/filter.d/*.conf
failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*
Post by Bas Janssen
http://www.fail2ban.org/
Daarnaast kan je met deze site vrij handig (htaccess) blocklists maken
gebaseerd op geoIP.
misschien moet ik .htaccess voorlopig maar weer inzetten.
Post by Bas Janssen
http://www.blockacountry.com/
Let wel dat dit soort services qua effect vaak afhankelijk zijn van hoe
goed de eigenaar zijn ip lijsten bijhoudt.
ok, ik ga dat eens bestuderen.

bedankt voor je reactie en tips

M.v.g.,
***@rinu$


http://www.m31galaxy.nl
Paul van der Vlis
2010-04-12 09:02:47 UTC
Permalink
Post by ***@rinu$
Post by Bas Janssen
Post by ***@rinu$
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?
nee, heb ik niet. zou ik eens kunnen uitproberen
Ik denk dat ze juist kijken of je mod_proxy geinstalleerd hebt om deze
te misbruiken. Maar er is geen mod_proxy geinstalleerd dus het mislukt.


Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Bas Janssen
2010-04-12 09:14:46 UTC
Permalink
Post by Paul van der Vlis
Post by ***@rinu$
Post by Bas Janssen
Post by ***@rinu$
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?
nee, heb ik niet. zou ik eens kunnen uitproberen
Ik denk dat ze juist kijken of je mod_proxy geinstalleerd hebt om deze
te misbruiken. Maar er is geen mod_proxy geinstalleerd dus het mislukt.
Mischien ook wel interessant om naar te kijken: mod_security

http://www.modsecurity.org/

Kan dit soort dingen ook wel afvangen.
--
Bas Janssen /. ***@dds.nl /. www.bas.dds.nl /. PGP#0x22FA2C9F

If the above does not make sense, I had a Gibberish Protection Fault
M@rinu$
2010-04-12 13:38:49 UTC
Permalink
Post by Bas Janssen
Post by Paul van der Vlis
Post by ***@rinu$
Post by Bas Janssen
Post by ***@rinu$
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?
nee, heb ik niet. zou ik eens kunnen uitproberen
Ik denk dat ze juist kijken of je mod_proxy geinstalleerd hebt om deze
te misbruiken. Maar er is geen mod_proxy geinstalleerd dus het mislukt.
Mischien ook wel interessant om naar te kijken: mod_security
http://www.modsecurity.org/
Kan dit soort dingen ook wel afvangen.
Nog bedankt voor je aanvullende info
bovenstaande ga ik bestuderen

M.v.g.,
***@rinu$
Ximinez
2010-04-13 06:35:27 UTC
Permalink
Post by ***@rinu$
Post by Bas Janssen
Post by Paul van der Vlis
Post by ***@rinu$
Post by Bas Janssen
Post by ***@rinu$
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?
nee, heb ik niet. zou ik eens kunnen uitproberen
Ik denk dat ze juist kijken of je mod_proxy geinstalleerd hebt om deze
te misbruiken. Maar er is geen mod_proxy geinstalleerd dus het mislukt.
Mischien ook wel interessant om naar te kijken: mod_security
http://www.modsecurity.org/
Kan dit soort dingen ook wel afvangen.
Nog bedankt voor je aanvullende info
bovenstaande ga ik bestuderen
Ik snap niet zo erg waarom je je zorgen zou moeten maken over een scan
op een vulnerability die je niet hebt. Zo kun je wel aan de gang blijven
tot je het hele internet hebt weggefilterd. Als het nou een zware load
op je server zou geven, maar dat is normaal gesproken niet het geval.

X.
m@rinu$
2010-04-13 14:28:18 UTC
Permalink
Post by Ximinez
Post by ***@rinu$
Post by Bas Janssen
Post by Paul van der Vlis
Post by ***@rinu$
Post by Bas Janssen
Post by ***@rinu$
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?
nee, heb ik niet. zou ik eens kunnen uitproberen
Ik denk dat ze juist kijken of je mod_proxy geinstalleerd hebt om deze
te misbruiken. Maar er is geen mod_proxy geinstalleerd dus het mislukt.
Mischien ook wel interessant om naar te kijken: mod_security
http://www.modsecurity.org/
Kan dit soort dingen ook wel afvangen.
Nog bedankt voor je aanvullende info
bovenstaande ga ik bestuderen
Ik snap niet zo erg waarom je je zorgen zou moeten maken over een scan
op een vulnerability die je niet hebt. Zo kun je wel aan de gang blijven
tot je het hele internet hebt weggefilterd. Als het nou een zware load
op je server zou geven, maar dat is normaal gesproken niet het geval.
X.
In principe maak ik me geen zorgen, maar als het veiliger gemaakt kan
worden met bestaande technieken en tools dan kun je je het jezelf alleen
maar kwalijk nemen als je systeem wordt gebruikt / misbruikt door
anderen met minder goeie bedoelingen.

of simpel gezegd, je gaat een end fietsen , je hebt een regepak bij je
i.v.m. mogelijk slecht weer.

je laat die regenpak toch niet in je fietstas zitten als het regent,
waarvoor neem je dan een regenpak mee.

ook al zou er geen sprake zijn van vulnerabilities, ik probeer het die
gasten zo moeilijk mogelijk te maken om op mijn systeem binnen te komen,
gebruik makend van de bestaande technologie

M.v.g.,
***@rinu$


www.tuxdesktop.nl
John Bokma
2010-04-13 17:13:19 UTC
Permalink
[..]
Post by ***@rinu$
Post by Ximinez
Ik snap niet zo erg waarom je je zorgen zou moeten maken over een
scan op een vulnerability die je niet hebt. Zo kun je wel aan de
gang blijven tot je het hele internet hebt weggefilterd. Als het nou
een zware load op je server zou geven, maar dat is normaal gesproken
niet het geval.
X.
In principe maak ik me geen zorgen, maar als het veiliger gemaakt kan
worden met bestaande technieken en tools dan kun je je het jezelf
alleen maar kwalijk nemen als je systeem wordt gebruikt / misbruikt
door anderen met minder goeie bedoelingen.
Het probleem van overbeveiligen IMO is dat er op den duur zoveel
technieken en tools draaien dat je systeem daar langzaam van kan
worden. Plus dat er een risico is dat je ergens per ongeluk een deur
open zet. Als je nu gaat tarpitten zou ik zeggen: je doet iets nuttigs
voor iedereen. Maar dingen blokkeren die er niet zijn, tja.
Post by ***@rinu$
of simpel gezegd,
Ach, hemel, een analogie. Die dingen falen nagenoeg altijd.
Post by ***@rinu$
je gaat een end fietsen , je hebt een regepak bij je
i.v.m. mogelijk slecht weer.
Ja, en stel dat je dat nu doet ergens in Juni in Mexico. En door dat
regenpak is er geen plaats meer voor "zonnecreme" en muggenolie....
--
John Bokma j3b

Hacking & Hiking in Mexico - http://johnbokma.com/
http://castleamber.com/ - Perl & Python Development
m@rinu$
2010-04-14 06:36:16 UTC
Permalink
Post by John Bokma
[..]
Post by ***@rinu$
Post by Ximinez
Ik snap niet zo erg waarom je je zorgen zou moeten maken over een
scan op een vulnerability die je niet hebt. Zo kun je wel aan de
gang blijven tot je het hele internet hebt weggefilterd. Als het nou
een zware load op je server zou geven, maar dat is normaal gesproken
niet het geval.
X.
In principe maak ik me geen zorgen, maar als het veiliger gemaakt kan
worden met bestaande technieken en tools dan kun je je het jezelf
alleen maar kwalijk nemen als je systeem wordt gebruikt / misbruikt
door anderen met minder goeie bedoelingen.
Het probleem van overbeveiligen IMO is dat er op den duur zoveel
technieken en tools draaien dat je systeem daar langzaam van kan
worden.
met bovengenoemde ben ik volledig met je eens en kan me goed voorstellen
dat overbeveiligen een averechts effect kan hebben op een up_to_date
systeem.


Misschien dat ik de indruk heb gewekt dat ik allerlei tools / progs
installeer om mijn systeem zo goed mogelijk te beveiligen dan kan ik je
mededelen dat dat niet het geval is.

naast het uptodate houden van het systeem draaid hier gewoon een
firewall met daarnaast fail2ban. Dus, qua beveiliging lijkt me dat
totaal niet overdone.

Met fail2ban probeer ik dus die vervelende WootWoot Dscans etc tegen te
houden en meer van dat soort gespuis alsmede die ssh brute-force attacks
en.d. en als daar een programma voor gemaakt is die dat zou kunnen
waarom zou je er dan geen gebruik van maken.


Plus dat er een risico is dat je ergens per ongeluk een deur
Post by John Bokma
open zet.
inderdaad, daar kan ik me iets bij voorstellen.

Als je nu gaat tarpitten zou ik zeggen: je doet iets nuttigs
Post by John Bokma
voor iedereen. Maar dingen blokkeren die er niet zijn, tja.
Post by ***@rinu$
of simpel gezegd,
Ach, hemel, een analogie. Die dingen falen nagenoeg altijd.
Post by ***@rinu$
je gaat een end fietsen , je hebt een regepak bij je
i.v.m. mogelijk slecht weer.
Ja, en stel dat je dat nu doet ergens in Juni in Mexico. En door dat
regenpak is er geen plaats meer voor "zonnecreme" en muggenolie....
M.v.g.
***@rinu$
John Bokma
2010-04-14 17:40:22 UTC
Permalink
Post by ***@rinu$
Met fail2ban probeer ik dus die vervelende WootWoot Dscans etc tegen
te houden en meer van dat soort gespuis alsmede die ssh brute-force
attacks en.d. en als daar een programma voor gemaakt is die dat zou
kunnen waarom zou je er dan geen gebruik van maken.
Ik gebruik zelf een niet-default SSH port. Als je connectie attempts
direct reject, dan is dat wat mij betreft niet echt zinnig. Tarpitten is
dan veel leuker, omdat je dan andere mensen helpt. Maar goed, recent was
hier een hele discussie over op Slashdot, dus nuttig leesvoer:

http://ask.slashdot.org/article.pl?sid=10/03/06/2138221

Diverse firewall rules en hulp programma's komen voorbij.
--
John Bokma j3b

Hacking & Hiking in Mexico - http://johnbokma.com/
http://castleamber.com/ - Perl & Python Development
m@rinu$
2010-04-15 08:10:20 UTC
Permalink
Post by John Bokma
Post by ***@rinu$
Met fail2ban probeer ik dus die vervelende WootWoot Dscans etc tegen
te houden en meer van dat soort gespuis alsmede die ssh brute-force
attacks en.d. en als daar een programma voor gemaakt is die dat zou
kunnen waarom zou je er dan geen gebruik van maken.
Ik gebruik zelf een niet-default SSH port.
ok, ik heb dat zelf ook wel eens gedaan, op zich een stuk rustiger aan
poort 22. Maar met fail2ban gaat het ook prima, die na bv 3 x de ipadres
in de ban zet voor de tijd die je hebt ingesteld en dan kun je de ssh
port gewoon standaard blijven gebruiken.

Als je connectie attempts
Post by John Bokma
direct reject, dan is dat wat mij betreft niet echt zinnig.
Tarpitten is
Post by John Bokma
dan veel leuker, omdat je dan andere mensen helpt.
Tarpitten: wat bedoel je daar mee?


Maar goed, recent was
Post by John Bokma
http://ask.slashdot.org/article.pl?sid=10/03/06/2138221
Diverse firewall rules en hulp programma's komen voorbij.
ik ga bovenstaande link eens bestuderen.

bedankt voor je reactie's en tips

***@rinu$
John Bokma
2010-04-15 17:16:36 UTC
Permalink
[..]
Post by ***@rinu$
Post by John Bokma
Tarpitten is
dan veel leuker, omdat je dan andere mensen helpt.
Tarpitten: wat bedoel je daar mee?
Ongewenst bezoek op port 22 bezig houden, zodat het lijkt alsof er
(uiteindelijk) wel toegang gaat komen, maar stiekem toch niet. Dus ipv
direct een reject geven, veroorzaak je een timeout na een bepaalde tijd
zodat ze blijven hangen.
Post by ***@rinu$
Post by John Bokma
http://ask.slashdot.org/article.pl?sid=10/03/06/2138221
Diverse firewall rules en hulp programma's komen voorbij.
ik ga bovenstaande link eens bestuderen.
Daar komt ook het tarpitten voorbij


Een tarpit is letterlijk een put met teer, dat plakkerige spul. In de
USA worden regelmatig prehistorische dieren gevonden in dergelijke
putten. Eenmaal er in komen ze er lastig uit. Als je ooit ice age hebt
gezien, in het begin worstelen de kinderen van 1 van de dieren in de
modder, en spelen "extinction" (de modder is dan denkbeeldig teer).
--
John Bokma j3b

Hacking & Hiking in Mexico - http://johnbokma.com/
http://castleamber.com/ - Perl & Python Development
m@rinu$
2010-04-15 22:36:52 UTC
Permalink
Post by John Bokma
[..]
Post by ***@rinu$
Post by John Bokma
Tarpitten is
dan veel leuker, omdat je dan andere mensen helpt.
Tarpitten: wat bedoel je daar mee?
Ongewenst bezoek op port 22 bezig houden, zodat het lijkt alsof er
(uiteindelijk) wel toegang gaat komen, maar stiekem toch niet. Dus ipv
direct een reject geven, veroorzaak je een timeout na een bepaalde tijd
zodat ze blijven hangen.
aan de teer of kaugom vastgeplakt ;-)
Post by John Bokma
Post by ***@rinu$
Post by John Bokma
http://ask.slashdot.org/article.pl?sid=10/03/06/2138221
Diverse firewall rules en hulp programma's komen voorbij.
ik ga bovenstaande link eens bestuderen.
Daar komt ook het tarpitten voorbij
ok , ik vat 'm
Post by John Bokma
Een tarpit is letterlijk een put met teer, dat plakkerige spul. In de
USA worden regelmatig prehistorische dieren gevonden in dergelijke
putten. Eenmaal er in komen ze er lastig uit. Als je ooit ice age hebt
gezien, in het begin worstelen de kinderen van 1 van de dieren in de
modder, en spelen "extinction" (de modder is dan denkbeeldig teer).
ice age , ja prachtig om te zien

M.v.g.,
***@rinu$


http://www.tuxdesktop.nl
John Bokma
2010-04-16 00:52:11 UTC
Permalink
Post by ***@rinu$
Post by John Bokma
putten. Eenmaal er in komen ze er lastig uit. Als je ooit ice age hebt
gezien, in het begin worstelen de kinderen van 1 van de dieren in de
modder, en spelen "extinction" (de modder is dan denkbeeldig teer).
ice age , ja prachtig om te zien
Zeker, een van de DVDs in de collectie van mijn dochter :-D.
--
John Bokma j3b

Hacking & Hiking in Mexico - http://johnbokma.com/
http://castleamber.com/ - Perl & Python Development
Ximinez
2010-04-14 08:06:43 UTC
Permalink
Post by ***@rinu$
Post by Ximinez
Post by ***@rinu$
Post by Bas Janssen
Post by Paul van der Vlis
Post by ***@rinu$
Post by Bas Janssen
Post by ***@rinu$
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?
nee, heb ik niet. zou ik eens kunnen uitproberen
Ik denk dat ze juist kijken of je mod_proxy geinstalleerd hebt om deze
te misbruiken. Maar er is geen mod_proxy geinstalleerd dus het mislukt.
Mischien ook wel interessant om naar te kijken: mod_security
http://www.modsecurity.org/
Kan dit soort dingen ook wel afvangen.
Nog bedankt voor je aanvullende info
bovenstaande ga ik bestuderen
Ik snap niet zo erg waarom je je zorgen zou moeten maken over een scan
op een vulnerability die je niet hebt. Zo kun je wel aan de gang
blijven tot je het hele internet hebt weggefilterd. Als het nou een
zware load op je server zou geven, maar dat is normaal gesproken niet
het geval.
In principe maak ik me geen zorgen, maar als het veiliger gemaakt kan
worden met bestaande technieken en tools dan kun je je het jezelf alleen
maar kwalijk nemen als je systeem wordt gebruikt / misbruikt door
anderen met minder goeie bedoelingen.
of simpel gezegd, je gaat een end fietsen , je hebt een regepak bij je
i.v.m. mogelijk slecht weer.
je laat die regenpak toch niet in je fietstas zitten als het regent,
waarvoor neem je dan een regenpak mee.
Analogieen, altijd leuk!

Ik zou het dan eerder zo formuleren. Je gaat op wereldreis, maar je
slaat Azie over omdat er wel eens een toerist beroofd wordt.

Het hele idee van een server op het Internet is dat je met de hele
wereld verbonden bent. Dat heeft z'n voor- en nadelen, maar om nou hele
landen c.q. netblokken uit te gaan sluiten, dat gaat me wat ver.

Wat niet wegneemt dat ik in het verleden wel eens een /24 netwerk heb
geblokkeerd, maar het misbruik/verkeer begon in dat geval echt
problematisch te worden.
Post by ***@rinu$
ook al zou er geen sprake zijn van vulnerabilities, ik probeer het die
gasten zo moeilijk mogelijk te maken om op mijn systeem binnen te komen,
gebruik makend van de bestaande technologie
Als je er bij na moet denken en gaan zitten afwegen of je X dan wel Y
restricties moet toepassen zou het mij al snel teveel moeite worden.
Iets als fail2ban zou ik nog wel overwegen als het automatisch werkt en
het risico op false positives klein is.

X.
M@rinu$
2010-04-14 09:22:56 UTC
Permalink
Post by Ximinez
Post by ***@rinu$
Post by Ximinez
Post by ***@rinu$
Post by Bas Janssen
Post by Paul van der Vlis
Post by ***@rinu$
Post by Bas Janssen
Post by ***@rinu$
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Daar lijkt het wel op.. Heb je mod_proxy aanstaan? Heb je je
webserver/proxy ook nog 'luisterend' op andere poorten?
nee, heb ik niet. zou ik eens kunnen uitproberen
Ik denk dat ze juist kijken of je mod_proxy geinstalleerd hebt om deze
te misbruiken. Maar er is geen mod_proxy geinstalleerd dus het mislukt.
Mischien ook wel interessant om naar te kijken: mod_security
http://www.modsecurity.org/
Kan dit soort dingen ook wel afvangen.
Nog bedankt voor je aanvullende info
bovenstaande ga ik bestuderen
Ik snap niet zo erg waarom je je zorgen zou moeten maken over een
scan op een vulnerability die je niet hebt. Zo kun je wel aan de gang
blijven tot je het hele internet hebt weggefilterd. Als het nou een
zware load op je server zou geven, maar dat is normaal gesproken niet
het geval.
In principe maak ik me geen zorgen, maar als het veiliger gemaakt kan
worden met bestaande technieken en tools dan kun je je het jezelf
alleen maar kwalijk nemen als je systeem wordt gebruikt / misbruikt
door anderen met minder goeie bedoelingen.
of simpel gezegd, je gaat een end fietsen , je hebt een regepak bij je
i.v.m. mogelijk slecht weer.
je laat die regenpak toch niet in je fietstas zitten als het regent,
waarvoor neem je dan een regenpak mee.
Analogieen, altijd leuk!
Ik zou het dan eerder zo formuleren. Je gaat op wereldreis, maar je
slaat Azie over omdat er wel eens een toerist beroofd wordt.
Het hele idee van een server op het Internet is dat je met de hele
wereld verbonden bent. Dat heeft z'n voor- en nadelen, maar om nou hele
landen c.q. netblokken uit te gaan sluiten, dat gaat me wat ver.
Wat niet wegneemt dat ik in het verleden wel eens een /24 netwerk heb
geblokkeerd, maar het misbruik/verkeer begon in dat geval echt
problematisch te worden.
Post by ***@rinu$
ook al zou er geen sprake zijn van vulnerabilities, ik probeer het die
gasten zo moeilijk mogelijk te maken om op mijn systeem binnen te
komen, gebruik makend van de bestaande technologie
Als je er bij na moet denken en gaan zitten afwegen of je X dan wel Y
restricties moet toepassen zou het mij al snel teveel moeite worden.
Iets als fail2ban zou ik nog wel overwegen als het automatisch werkt en
het risico op false positives klein is.
X.
wat betreft beveiliging, ik probeer er een soort balans in te houden dat
het niet overdone wordt.

terecht is jou opmerking dan ook dat een systeem onnodig te zwaar belast
zou kunnen worden door allerlei tools etc te installeren. en daar ben ik
me ook wel van bewust. Op servergebied ben ik nog niet zo echt heel lang
bezig onder Linux , met de desktop meer. Dus , in die zin probeer ik na
wat aan info vind over beveiliging van webservers e.d. onder linux de
balans te vinden.

bedankt voor je reactie's

M.v.g.,
***@rinu$
Paul van der Vlis
2010-04-12 09:00:51 UTC
Permalink
Post by ***@rinu$
hallo allen,
125.224.195.138 - - [09/Apr/2010:04:22:12 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [10/Apr/2010:21:57:39 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [11/Apr/2010:08:22:42 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.197.145 - - [12/Apr/2010:04:20:15 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
inetnum: 125.224.0.0 - 125.231.255.255
netname: HINET-NET
country: TW
descr: CHTD, Chunghwa Telecom Co.,Ltd.
descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd.
descr: Taipei Taiwan 100
admin-c: HN27-AP
tech-c: HN28-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-TW-TWNIC
mnt-lower: MAINT-TW-TWNIC
mnt-routes: MAINT-TW-TWNIC
inetnum: 203.188.200.0 - 203.188.203.255
netname: YAHOO-MAIL
descr: Yahoo! Taiwan, Teipei, Taiwan
zijn er meer onder jullie die van bovengenoemd ipadres last hebben op
dezelfde manier en wat kan ik er tegen doen.
ik heb al heel wat ipranges in mijn fw gezet maar op de een of andere
manier werkt het niet naar wens.
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.193.12/24 -j DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.194.112/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.195.128/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.196.158/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.197.226/24 -j
DROP
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Hij probeert het, maar het mislukt.
Ik zie een "405" en dat betekent "Method not allowed".

Het lijkt me dat je zoiets met fail2ban kunt opvangen, maar niet zeker
of daar een standaard-configuratie voor is.

Aan de andere kant: als jij de boel goed dicht hebt is er geen probleem.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
m@rinu$
2010-04-12 09:34:25 UTC
Permalink
Post by Paul van der Vlis
Post by ***@rinu$
hallo allen,
125.224.195.138 - - [09/Apr/2010:04:22:12 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [10/Apr/2010:21:57:39 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.195.138 - - [11/Apr/2010:08:22:42 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
125.224.197.145 - - [12/Apr/2010:04:20:15 +0200] "CONNECT
203.188.201.253:25 HTTP/1.1" 405 300 "-" "-"
inetnum: 125.224.0.0 - 125.231.255.255
netname: HINET-NET
country: TW
descr: CHTD, Chunghwa Telecom Co.,Ltd.
descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd.
descr: Taipei Taiwan 100
admin-c: HN27-AP
tech-c: HN28-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-TW-TWNIC
mnt-lower: MAINT-TW-TWNIC
mnt-routes: MAINT-TW-TWNIC
inetnum: 203.188.200.0 - 203.188.203.255
netname: YAHOO-MAIL
descr: Yahoo! Taiwan, Teipei, Taiwan
zijn er meer onder jullie die van bovengenoemd ipadres last hebben op
dezelfde manier en wat kan ik er tegen doen.
ik heb al heel wat ipranges in mijn fw gezet maar op de een of andere
manier werkt het niet naar wens.
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.193.12/24 -j DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.194.112/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.195.128/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.196.158/24 -j
DROP
$IPTABLES -A INPUT -i $INTDEV -p TCP --dport 80 -s 125.224.197.226/24 -j
DROP
na wat ik ervan interpreteer is dat bovengenoemde ipadres mijn webserver
als een proxy gebruikt om in te loggen op een mailserver bij
203.188.201.253:25
Hij probeert het, maar het mislukt.
Ik zie een "405" en dat betekent "Method not allowed".
inderdaad, voor zover zit het nog wel goed .....ben bezig met het zoeken
naar andere methoden zoals onder beschreven.
Post by Paul van der Vlis
Het lijkt me dat je zoiets met fail2ban kunt opvangen, maar niet zeker
of daar een standaard-configuratie voor is.
ik ben inderdaad dus met fail2ban bezig te experimenteren maar tot op
heden heb ik nog geen goeie filter kunnen vinden die bovengenoemde
probleem kan oplossen
Post by Paul van der Vlis
Aan de andere kant: als jij de boel goed dicht hebt is er geen probleem.
ok , bedankt voor je reactie
Post by Paul van der Vlis
Met vriendelijke groet,
Paul van der Vlis.
M.v.g.,
***@rinu$
Loading...