Fail2Ban Reporting Service

Aktuell haben wir insgesamt 106 User, welche wiederum 151 Server eingetragen haben.

Diese generieren pro Tag im Durchschnitt 2.200 Attacken, wovon 900 Abuse-Reports erstellt werden.

Die Last des Servers ist mittlerweile selten unter 1 und im Durchschnitt bei einer Load von 4.

Täglich entstehen nur auf den IP-Adressen von blocklist.de, wo die E-Mails rein kommen, die Listen der IP-Adressen runtergeladen werden (mit WEB, ohne RBLDNS) usw. 2GB Traffic.

Täglich greifen im Durchschnitt 150 unique User auf www.blocklist.de zu und generieren durch die Webseite 20-30MB am Tag.

Bei den Auswertungen ist das Forum nicht enthalten.

Uns ist aufgefallen, das bereits nach wenigen Tagen, die Anzahl der Angriffe bei neuen Server deutlich abnimmt.

Es gab bisher 4 User, welche richtig viele Angriffe pro Tag hatten (zwischen 700 und 2k). Aber bereits nach wenigen Tagen (zwischen 3 und 21), hat die Anzahl der Angriffe drastisch abgenommen.

server-stats

Dies ist vor allem bei dem Dienst ssh ersichtlich. Bei mail/postfix, ist die Erfolgsrate nicht so hoch, da wohl viele Provider dies nicht als „Problem“ erkennen und somit länger warten oder den Kunden häufiger anschreiben, bis dieser gesperrt oder an ein Beratungszentrum wie z.b. http://www.botfrei.de verwiesen wird.

Oft kommt auch eine Antwort wie „Der Angriff/Spam wurde doch erfolgreich abgelehnt und gar nicht angenommen, warum melden Sie das überhaupt.“ -> Antwort: weil evtl. andere Systeme nicht unsere Blacklist einsetzten und dort der Spam ankommt, zudem ist eindeutig das System hinter der IP verseucht und nicht mehr unter der Kontrolle des Inhabers.

Wir wünschen allen Abuse-Teams und Provider, welche sich über unsere Reports freuen, damit Sie erfolgreich arbeiten können, einen guten Rutsch und ein erfolgreiches Jahr 2011 🙂

Eine unserer Honeypot-IPs und die dazugehörige Domain wurden von elite-Proxy oder so ähnlich als erstes als ein Proxy gelistet.

Dies hat sich dann in Windeseile über Foren etc. weiter verbreitet.

Die angeforderte URL wird dabei nicht ausgegeben, wenn die URL nicht per RFI-Muster versucht wurde zu includieren. Zudem kommt immer ein dicker Hinweis, das es kein Proxy ist und alle Requests gemeldet werden (ab 2).

Wir haben dann den Status immer von 200 auf 405 und 406 geändert, was die Proxy-Clients allerdings nur in eine Endlosschleife hängen lies und diese bis zu 50 mal versuchten die gleiche URL aufzurufen.

Nachdem sich zu viele Abuse-Teams darüber beschwert haben, das es ja kein Angriff gab, haben wir nun vorerst diesen Honeypot stillgelegt. Er meldet nun immer nur 404 Not Found.

Die ganzen Zugangsdaten, welche per GET oder POST übergeben wurden, könnte man so ganz einfach abfangen. Wenn im nächsten Jahr die Aufrufe weiterhin so stark sind (ca. 25GB Traffic pro Monat und der Dezember ist noch nicht vorbei), dann werden wir die Aufrufe mal genauer analysieren und auswerten.

Seit 23 Uhr, werden alle Server sehr vermehrt von SSH-Angriffen heim gesucht.

Anstatt 1 bis 20 SSH-Angriffe pro Stunde, sind es nun zwischen 100 und 250 Stück pro Stunde und Server.

Fast alle IP-Adressen kommen aus der LACNIC-Region.

Update:

Gegen 6 Uhr hat die Anzahl der SSH-Angriffe das erste mal das Volumen der postfix/mail-Angriffe übertroffen.

Seit dem 08.11.2010 gibt es bei „inetnum“, „inet6num“ und „aut-num“ das Pflichtfeld/Object IRT-Object.

Dadurch gibt es nun bei allen IP-Adressen, die nicht bereits selbst ein IRT-Object verwenden das default-IRT-Object der APNIC:

irt:            IRT-APNIC-AP
address:        Brisbane, Australia
e-mail:         xxxxxx@apnic.net
abuse-mailbox:  abuse@apnic.net
admin-c:        HM20-AP
tech-c:         NO4-AP
auth:           MD5-PW $1$4Xs0dCYW$2n3kQaMpxGmUyAcaKYaui/
remarks:        APNIC is a Regional Internet Registry.
remarks:        We do not operate the referring network and
remarks:        is unable to investigate complaints of network abuse.
remarks:        For more information, see www.apnic.net/irt
mnt-by:         APNIC-HM
changed:        hm-changed@apnic.net 20101111
source:         APNIC

Dadurch erhalten sehr viele Abuse-Teams wohl die Reports nicht, es sei denn die 
APNIC leitet die Reports weiter, was ich nicht vermute.

Fast alle (deutlich über 96%)  SSH-Angriffe des Abends kommen aus der LACNIC-Region.

Dabei fallen vier Provider besonders auf (evtl. sind sie sehr groß):

IP.TELMEXCHILE.CL
TELMEXLA.NET.CO

CABLE.NET.CO

Alle Angriffe werden natürlich sofort verarbeitet und gemeldet, allerdings
schätze ich die Erfolgschancen gering ein.
Wir sind gespannt auf Montag oder arbeiten die etwa am Wochenende (was
man beim Abuse-Department schon tun sollte).

Auf dem achten deutschen Anti-Spam-Kongress (DASK), habe ich einen kurzen Vortrag über blocklist.de gehalten, was dies eigentlich ist, wie blocklist.de vorgeht um Reports zu erstellen und was X-ARF bedeutet.

Für Eco-Mitglieder wird die Präsentation bald im Wiki erscheinen und kann dort gerne noch mal angesehen werden.

[UPDATE] http://wiki.ak-email.eco.de/downloads [/UPDATE]

Durch die Präsentation, ist hoffentlich blocklist noch etwas bekannter geworden und andere Provider dadurch motiviert nun auch anzufangen in X-ARF zu reporten, da Provider allgemein immer viele Angriffe jeglicher Art haben 🙂

Die Auswertung kann sehr gut automatisch erfolgen und ein sehr feines Scoring verwendet werden, je nach dem um welche Angriffs-Art es sich handelt und von wem der Report kommt.

Wir können x-arf nur jedem empfehlen, da es auf ARF aufbaut, ist es auch relativ einfach vorhandene ARF-Parser zu erweitern.

Nach 6 Monaten, können wir mal eine Bilanz erstellen.

Seit wir blocklist.de für andere User zugänglich gemacht haben und sich jeder über http://www.blocklist.de/en/register.html anmelden und seine Server zum reporten freischalten kann, hat sich einiges getan.

Aktuell sind 33 User registriert, welche wiederum 53 Server eingetragen haben.

Diese haben seit 02/2010 knapp 97.000 Angriffe gemeldet, welche insgesamt knapp 60.000 Abuse-Reports ausgelöst haben.

Durch die Reports, erhalten wir pro Monat, ganz grob 1.500 Bounces und knapp 200 Antworten wobei wir extra [noreply] im Betreff stehen haben. Zudem prüfen wir die Bounces und schauen, wenn es die Abuse-Adresse nicht mehr gibt, welche Adressen uns abusix.org und abuse.net zu der IP und dem Hostnamen zurück liefern und schreiben die Adressen um, damit neue Reports an die neue Adressen gesendet werden.

Wenn wir [noreply] aus dem Betreff entfernen, erhalten wir nach einem Tag auf alle Reports Eingangsbestätigungen und gut 60% Antworten auf die Complaints.

Hier werden wir Provider auflisten, welche nach unserer Ansicht nach nicht bemüht sind den Complaints nach zu gehen und die Ursache zu bereinigen:

fibre1.net (DE)

xsserver.eu (DE)

extel.de (DE)

bergdorf-group.com (NL)

bol.net.in (IN)

airtel.in (IN)

fastweb.it (IT)

vnpt.com.vn (VN)

CHINANET-BACKBONE (CN)

bsnl.in (IN)

telekom.net.id (ID)

oi.net.br (BR)

romtelecom.ro (RO)

webair.com (US): <x@webair.com>: host barracuda.webair.com[209.200.29.68] said: 550 Blocked...

singnet.com.sg (singtel, SG, nur Reports per Formular)

zayoenterprise.com (US, man soll Reports per Telefon bestätigen)

vectant.co.jp (JP, nur Reports per Formular)

a1.at (AT, bounced, man kann die Kontaktformulare nicht verwenden ohne 1.000 Fehlermeldungen)

aster.pl (PL, Reports nur per WebFormular, wo unbenötigte Daten abgefragt werden)

uk-support-team.com / openhosting.co.uk (GB, Reports nur per WebForm, 
wo man sich anmelden muss).

krasnet.ru (Lehnt Reports ab: <smena_pd@mail.es-krs.ru> (reason: 551 
ubfilter.int.comin.krasnoyarsk.su is configured to reject e-mail from your domain.)

Far east Telecommunications Company (RU), blockiert hart anstatt sich zu melden)

cantv.net (VE) verwendet uralte IP-Listen: Diagnostic-Code: smtp; 550 5.7.1 <ipadmin@cantv.net>... 
Mail from 178.63.159.40 refused: Vea http://abuso.cantv.net/bl/dul.html

rr.com RoadRunner (US), deren Mailserver funktionieren nicht und nehmen keine Complaints an.

192.251.226.0/24 (DE) sieht Reports als Belästigung an.

brutele.be (BE) <x@brutele.be>: host x.brutele.be[212.68.x.x] said: 550 This domain is blacklisted,
consult your postmaster

etherway.ru, (RU) -> <x@etherway.ru>: host x.etherway.ru[91.197.x.x] said: 553 5.7.1 
<server5.customer-config.de>: Helo command rejected: SPAM_serverXX

.

192.251.226.0 - 192.251.226.255 beinhaltet Tor-Knoten, welche RFI-Attacken ausführen und versuchen Webseiten zu hacken.

.

Man muss deutlich sagen, das ID und IN das neue BR werden.

Die Provider in Indonesien und Indien haben zwar eine Abuse-Adresse, aber diese sind nur Forwarding-Adressen auf 50 andere Accounts, welche voll sind oder nicht mehr existieren.

Unserer Empfehlung daher, die komplette Netze der genannten Provider sperren!

krasnet.ru

Durch eine alte WordPress-Test-Insallation, ist eine Domain/Blog gehackt worden und es wurde schädlicher Code eingefügt, bzw. ein User mit Admin-Rechte erstellt.

Durch die Untersuchung haben wir eine Liste mit Domainnamen und WordPress-Installationen gefunden.

In der Liste sind über 250.000 URL’s mit Domains, welche ein WordPress aufweisen mit den Daten der Version, dem PageRank und anderen Details gespeichert.

Von den Domains sind ungefähr 300 Stück gehackt und weisen einen User auf, welcher Admin-Rechte besitzt. Über diesen User, kann sich der Angreifer auch nach einem Update auf die aktuellste Version 3.x wieder einloggen und schädlichen Code einschleusen oder andere Aktionen als Admin ausführen.

Der Angriff erfolgt über die Datei /wp-admin/theme-editor.php und erfolgte vorher über eine erfolgreiche Registrierung des Nutzer mit dem Namen „Jozephcales“ oder der E-Mailadresse „jozecale8@gmail.com“.

Der User welcher danach mit den Admin-Rechten existiert heißt „NighrRe87“
Die Admins der WordPress-Installationen sollten daher schnellstmöglich die User, die Files und den Webspace prüfen, ob Files modifiziert oder Einträge geändert worden sind.

Zudem sollte die Registrierung von neuen Usern deaktiviert werden, da der Hack nur mit einem registrierten User möglich ist.