2010
12.26
Uns ist aufgefallen, das bereits nach wenigen Tagen, die Anzahl der Angriffe bei neuen Server deutlich abnimmt.
Es gab bisher 4 User, welche richtig viele Angriffe pro Tag hatten (zwischen 700 und 2k). Aber bereits nach wenigen Tagen (zwischen 3 und 21), hat die Anzahl der Angriffe drastisch abgenommen.
server-stats
Dies ist vor allem bei dem Dienst ssh ersichtlich. Bei mail/postfix, ist die Erfolgsrate nicht so hoch, da wohl viele Provider dies nicht als „Problem“ erkennen und somit länger warten oder den Kunden häufiger anschreiben, bis dieser gesperrt oder an ein Beratungszentrum wie z.b. http://www.botfrei.de verwiesen wird.
Oft kommt auch eine Antwort wie „Der Angriff/Spam wurde doch erfolgreich abgelehnt und gar nicht angenommen, warum melden Sie das überhaupt.“ -> Antwort: weil evtl. andere Systeme nicht unsere Blacklist einsetzten und dort der Spam ankommt, zudem ist eindeutig das System hinter der IP verseucht und nicht mehr unter der Kontrolle des Inhabers.
Wir wünschen allen Abuse-Teams und Provider, welche sich über unsere Reports freuen, damit Sie erfolgreich arbeiten können, einen guten Rutsch und ein erfolgreiches Jahr 2011 🙂
-google-ads-
2010
12.23
Eine unserer Honeypot-IPs und die dazugehörige Domain wurden von elite-Proxy oder so ähnlich als erstes als ein Proxy gelistet.
Dies hat sich dann in Windeseile über Foren etc. weiter verbreitet.
Die angeforderte URL wird dabei nicht ausgegeben, wenn die URL nicht per RFI-Muster versucht wurde zu includieren. Zudem kommt immer ein dicker Hinweis, das es kein Proxy ist und alle Requests gemeldet werden (ab 2).
Wir haben dann den Status immer von 200 auf 405 und 406 geändert, was die Proxy-Clients allerdings nur in eine Endlosschleife hängen lies und diese bis zu 50 mal versuchten die gleiche URL aufzurufen.
Nachdem sich zu viele Abuse-Teams darüber beschwert haben, das es ja kein Angriff gab, haben wir nun vorerst diesen Honeypot stillgelegt. Er meldet nun immer nur 404 Not Found.
Die ganzen Zugangsdaten, welche per GET oder POST übergeben wurden, könnte man so ganz einfach abfangen. Wenn im nächsten Jahr die Aufrufe weiterhin so stark sind (ca. 25GB Traffic pro Monat und der Dezember ist noch nicht vorbei), dann werden wir die Aufrufe mal genauer analysieren und auswerten.
-google-ads-
2010
12.02
Seit 23 Uhr, werden alle Server sehr vermehrt von SSH-Angriffen heim gesucht.
Anstatt 1 bis 20 SSH-Angriffe pro Stunde, sind es nun zwischen 100 und 250 Stück pro Stunde und Server.
Fast alle IP-Adressen kommen aus der LACNIC-Region.
Update:
Gegen 6 Uhr hat die Anzahl der SSH-Angriffe das erste mal das Volumen der postfix/mail-Angriffe übertroffen.
-google-ads-
