it-swarm.com.de

Wie finden Angreifer die IP-Adressen kürzlich bereitgestellter Server?

Vor ungefähr zwei Monaten habe ich einen Ubuntu-Server bereitgestellt, dessen Hauptzweck eine Web-App ist. Ich entwickle die App jedoch noch und habe die Server-IP nur meinem Kollegen und einigen Freunden zum Testen gegeben.

Gestern habe ich die fail2ban-Protokolle überprüft und viele SSH-Bruteforce-Versuche aus China, Frankreich usw. bemerkt, die datiert waren, bevor ich die IP herausgab. Ich habe auch meine Serverzugriffsprotokolle überprüft und einige böswillige Versuche mit URLs von denselben IPs festgestellt, bei denen versucht wurde, SSH zu bruteforce. Ein Beispiel für eine Anfrage ist myip/otherip/file.php . Ich bin mir nicht sicher, wie ich das interpretieren soll. Ich habe die IP dieses Servers zurückverfolgt und sie befindet sich auf derselben Hosting-Firma, auf der ich mich befinde.

Frage: Wie haben sie von der IP des Servers erfahren, bevor ich die App überhaupt bereitgestellt oder ausgegeben habe?

Meine Vermutung: Ich vermute, es ist ein Bot, der ständig verschiedene IPs eines bestimmten Musters anprobiert, was zu Servern desselben Hosting-Unternehmens führt. Ist das eine richtige Annahme oder gibt es andere Möglichkeiten?

30
HassenPy

Ihre Vermutung ist wahrscheinlich richtig.

Die großen Server-Hoster verfügen über kontinuierliche IP-Bereiche, aus denen sie ihren Kunden IPs zuweisen. Low-Budget-Hoster werden häufig von Amateuren verwendet, die nicht wissen, was sie tun. Daher verwenden sie wahrscheinlich leicht zu erratende Kennwörter oder richten unsichere Webanwendungen ein. Dies macht diese IP-Bereiche zu wertvollen Zielen für Black-Hats.

Wenn Sie solche Angriffe innerhalb des Hosternetzwerks bemerken, sollten Sie sie dem Hoster melden, da dies sehr wahrscheinlich einen Verstoß gegen die Nutzungsbedingungen darstellt ... oder einen Server eines anderen Kunden, bei dem die Black-Hats bereits erfolgreich waren.

47
Philipp

Alle Server, die IPv4-Adressen verwenden, erhalten Hintergrundgeräusche in Form von automatisierten Scan- und Bruteforce-Versuchen. Dies liegt im Wesentlichen daran, dass es einfach ist, den gesamten Adressraum zu scannen - es dauert weniger als eine Stunde und kann zu Systemen führen, die noch nicht vollständig gepatcht oder eingerichtet wurden.

Infolgedessen würde ich voll und ganz erwarten, dass jedes System viel von dieser Art von Verkehr sieht. Aus diesem Grund ist es wichtig, Ihre Sicherheit zu regeln, bevor Sie Ihren Server für das Internet öffnen. Lassen Sie Ihre Firewall eingeschaltet und blockieren Sie eingehenden Datenverkehr, während Sie sie einrichten. Beschränken Sie den Zugriff auf bekannte IP-Adressen zum Testen. Sobald Sie sicher sind, dass es sicher ist, können Sie die Firewall für den Rest des Internets öffnen, um eine Verbindung herzustellen.

Wenn Sie einen Server mit einer umgekehrten DNS-Suche haben, kann jemand, sobald er die IP-Adresse hat, nachsehen, zu welchem ​​Domainnamen Ihr System zu gehören glaubt, daher versucht auch die URL.

Wenn Sie sichergestellt haben, dass Ihr System sicher ist, machen Sie sich keine Sorgen - stellen Sie sicher, dass Sie über angemessene Kennwörter für SSH (oder besser noch über eine schlüsselbasierte Anmeldung) verfügen und dass alle anderen Dienste ordnungsgemäß gesperrt sind. Wenn Sie dies nicht getan haben oder glauben, dass sie reingekommen sind, behandeln Sie es wie einen kompromittierten Server - sortieren Sie Ihre Firewall (wahrscheinlich bei Ihrem Hosting-Anbieter) und beginnen Sie von vorne.

27
Matthew

Ihre IP ist wie eine Telefonnummer. Es ist nicht erforderlich, es irgendwo aufzulisten, um es verwenden zu können. Tatsächlich ist es bereits in den Routing-Tabellen des BGP-Protokolls aufgeführt, dem Protokoll, das ISPs zum Erstellen des "Internets" verwenden.

Es ist bekannt, dass die Chinesen (unter anderem) versuchen, eine vorhandene IP-Adresse zu ermitteln, um festzustellen, ob ein Dienst sie abhört. Ihr Server hat auf eine ihrer Sonden geantwortet und versucht dann, Sie automatisch zu infizieren. (im Grunde, was als Skriptangriff bekannt ist)

Die URL Ihrer Website entspricht der Auflistung Ihres Namens in einem Telefonbuch mit der "Nummer", unter der Sie erreichbar sind. Dies wird auch von den Chinesen verwendet, sobald Sie es veröffentlichen, aber es beschränkt sie nicht darauf, vorher zu versuchen, hineinzukommen.

14
LvB

In Amerika ist arin.net das öffentliche Repository für IP-Adressblöcke und deren Eigentümer. Diese Informationen helfen beispielsweise Systemadministratoren beim Umgang mit Spam, Routing oder anderen Problemen mit Personen außerhalb ihres Netzwerks. Aber es hilft auch Hackern. Ein Hacker, der nach finanziellem Gewinn sucht, würde wahrscheinlich empfindliche Endkunden wie das Justizministerium, die CIA oder das Militär in Ruhe lassen, und das Verzeichnis arin.net hilft, diese auszuschließen. Ein solcher Hacker würde besser in den veröffentlichten Bereichen von GoDaddy, Amazon, DigitalOcean, Linode und Rackspace stöbern.

Jeder Kontinent hat ein eigenes Verzeichnis ähnlich wie arin.net.

Sie können sich auch auf unerwünschte Besucher verlassen und sich entsprechend vorbereiten.

3
Xavier J

Das sind wirklich zwei Fragen.

1.) Wie haben sie von Ihrer IP erfahren, bevor Sie den Server eingerichtet haben?

Wie andere Leute bereits betont haben, war dies wahrscheinlich nur ein Massen-Scan und nicht etwas, das speziell auf Sie zugeschnitten war. Es gibt Tools wie ZMAP, die das gesamte IPv4-Internet in nur wenigen Minuten scannen können.

https://zmap.io/

Es gibt viele Leute, die Informationen über das Internet als Ganzes sammeln, einige nur zu kommerziellen oder Forschungszwecken, aber auch viele schlechte Schauspieler, die dies tun. Dies wird im Internet als normal angesehen und es ist nicht ungewöhnlich, dass Sie Ihren ersten Scan innerhalb von 2 bis 4 Minuten nach dem Anschließen eines Computers an das Internet von einem Dritten durchführen lassen.

Hinweis: Sehen Sie sich die Protokolle auf Ihrem Server genau an, und Sie werden auch Personen finden, die eine Angriffsmethode verwenden. Dies sind schlechte Akteure, die mit einer bestimmten Konfiguration in bestimmte Server eindringen können, um nach anfälligen Systemen zu suchen. Das passiert die ganze Zeit.

2.) Wie finden Angreifer die IP-Adressen kürzlich bereitgestellter Server?

Es gibt eine Reihe von Möglichkeiten, wie dies getan werden kann. Die häufigsten sind folgende:

Verwenden Sie ein Brute-Force-Wörterbuch-Angriffstool, um alle Hosts zu finden, die in einem externen DNS eines Unternehmens (oder einem falsch konfigurierten internen DNS) aufgeführt sind. Ein Tool, das hier großartige Arbeit leistet, ist THC Hydra https://github.com/vanhauser-thc/thc-hydra

Wenn es sich um eine große Organisation handelt, können Sie die AS-Nummer des Unternehmens einsehen und die zugehörigen IP-Adressen (IP-Präfix) für deren BGP-Peering auf eine beliebige Anzahl von Router-Look-Brillen finden

https://www.us.ntt.net/support/looking-glass/

Beachten Sie, dass hier nur die wichtigsten IP-Bereiche angezeigt werden und nicht die von ihnen verwalteten Server, die sich möglicherweise bei einem Remote-Cloud-Anbieter befinden

Eine andere Methode besteht darin, eine vollständige Liste des Reverse-DNS für alle IP-Adressen im IPv4-Adressraum herunterzuladen.

https://scans.io/study/sonar.rdns

Dies wird auch nicht alles finden, aber es werden viele Websites gefunden, die bei verschiedenen Cloud-Anbietern gehostet werden, und es kann hilfreich sein, andere Netzwerkbereiche oder Drittanbieter zu finden, die mit einer bestimmten Organisation zusammenarbeiten

Schließlich. Einfach mit Suchmaschinen. Suchmaschinen, die den gesamten HTML-Code und Text auf Websites entdecken, sind eine großartige Möglichkeit, verwandte Server zu finden, die ein Unternehmen einrichtet, selbst wenn kein entsprechender DNS-Eintrag vorhanden ist. Als Penetrationstester finde ich routinemäßig Kopien von Websites oder Content-Management-Systemen, die von Webentwicklungsteams gehostet werden und mit denen ich entweder auf die Hauptwebsite des Unternehmens oder in einigen Fällen auf die Webbrowser von Personen zugreifen kann, die in einer bestimmten Organisation arbeiten.

Darüber hinaus verweisen einige Websites auf andere Server eines Unternehmens, indem sie die URL dem anderen Server anzeigen. Wenn Sie also alle öffentlich verfügbaren HTML-Websites verschrotten und dann nach IPs und Domain-Namen suchen, können Sie auch weitere Informationen erhalten.

Ebenso verlieren mobile Apps und benutzerdefinierte Softwareanwendungen diese Art von Informationen.

Bei der Aufklärung für Penetrationstests ist es typisch, alle oben genannten Punkte zu überprüfen, um zusätzliche Angriffsflächen zu entdecken. Schlechte Schauspieler können das Gleiche tun, und schlechte Schauspieler, die gut organisiert sind, tun dies die ganze Zeit mit automatisierten Tools.

2
Trey Blalock