Hallo zusammen,

in letzter Zeit stelle ich wiederholt fest, dass wir ungwöhnlich viele, vermutliche ungebetene Gäste auf unserer Seite haben. Vor einigen Jahren berichtete uns inlinerbutch als damaliger Admin, dass es eine Vielzahl von Angriffs- und Hackingversuchen auf unsere Seite gegeben habe. Von China bis zur NSA sei alles dabei gewesen.

Aktuell sehe ich gerade 401 Gäste am 23.12.2016 um 14.58 Uhr. Die lesen bestimmt nicht alle nur in unserem Forum.

KlaRen deshalb die Frage an Dich:

Können wir irgendwie geartete Angriffsversuche protokollieren und evtl. die IP-Adressen zurückverfolgen? Inlinerbutch hatte damals einen honeypot eingerichtet und sich sonst noch so Einiges einfallen lassen um die Seite zu schützen.

Wie sind wir da aktuell aufgestellt?

Gerne können wir dazu auch telefonieren.

Bis denne
helmutturner

Hallo Helmutturner,

die vermeintlich hohe Zahl an Gästen liegt an der erhöhten Sessiontime. Auch wenn ein Gast mal schnell über eine Seite huscht bleibt seine "Session" für einige Zeit erhalten. Das ist hilfreich für die angemeldeten Benutzer, da man in Ruhe einen Artikel/Forumsbeitrag schreiben kann, ohne das der Timeout alles geschriebene beim Absenden zu Nichte macht.
So ist es mir schon öfter mal passiert.

Aber wir haben dadurch eine Verzerrung der Zugriffszahlen.

Honeypots sind interessant, aber nicht für ein Produktivsystem. Damit zieht man entweder irgendwelche Botnet-Betreiber mit Expansionswünschen an oder vielleicht sogar noch anderes Klientel, das dann möglicherweise aus dem Honypot ausbricht und das Hauptsystem kompormitiert. Sowas sollte man wirklich isoliert aufsetzen, meiner Meinung nach.

Nebenaspekt: Den Botnetzen ist es egal ob das ein Honypot, ein dicker Server oder ein IoT Videokamera ist und was darauf läuft wo sie gerade einbrechen. Den meisten geht es einfach nur um die Menge. Und da wird der Honeypot wohlmöglich auch zum Zombie und zur Spamschleuder und zum DDoS Generator...

Außerdem haben wir dann so 50-100 Leute jede Woche, die hier in den Honeypot eingebrochen sind. Die nächste Frage wäre: "Was machen wir damit?"
Ich habe mal versucht die permanenten SSH Einbruchsversuche an die Abuse E-mailadressen der zuständigen IP Provider zu senden. Response: Null komma Null, leider.

Also hilft nur best möglich abdichten und ignorieren. Mag hier nicht alles ausbreiten, aber für den SSH Zugang haben wir eine selbstlernende Firewall, die "Angriffe" erkennt und die betreffenden quell IP Adressen komplett aussperrt.
Das verschafft uns etwas Ruhe. Derzeit haben sich ~500 IP Adressen dort angesammelt - seit dem Aufsetzen des Systems im
September wohl gemerkt.
Aber keine Sorge da ist noch Platz für 65035 weitere .

Liebe Grüße,
KlaRen

Hallo KlaRen, hallo Helmut,

als einer der täglich mit Cyberkrieg beschäftigt ist, fällt mir Folgendes zu Honigtöpfchen ein:

1. Ein Honeypot ist für Studienzwecke eine ergiebige Quelle. Ob in der KaaLUG der notwendige Background und das Interesse für Studien vorhanden ist, glaube ich eher nicht.
2. Die IPv4 oder IPv6 mit der das Töpfchen im Netz hängt, könnt ihr schnell als verbrannt betrachten und wird blitzartig auf den entsprechenden RBLs landen.
3. Ein Honigtöpfchen bitte niemals in einer Sandkistenumgebung betreiben. Ich teile in der Hinsicht die Einschätzung von KlaRen und man sollte sich darüber im klaren sein: Man(n) ist ein Magnet für abolute Profis und alle Schlapphutfraktionen

Soweit meine Gedanken zur Honigtopf-Diskussion

Gruß
HanjoLix

P.S. Zwischen den Feiertagen war ich mit Sohnemann in Hamburg. Empfehlenswert sind die "works for me" Konserven
media.ccc.de/c/33c3