Kreeg gisteren een berichtje van mijn provider. Er is over mij geklaagd. Mijn IP zou zijn gebruikt bij poort scans. Een paar maand geleden was er een klacht over het verzenden van spam met een van mijn andere IP's. Dit laatste is uitgebreid onderzocht, maar er is niks gevonden. Nu dus weer. Ik ben de enige die toegang heeft tot de server en het zit behoorlijk dicht. Maak me echt geen illusies; waterdicht lukt nooit. Ik draai op FreeBSD.

Weet dus bijna wel zeker dat het om IP spoofing gaat en waar ik weinig aan kan doen. Maar hoe kan ik controleren of er toch niet iets op mijn server draait.

wat voor bewijs is er?

Wie managed de server? Jij ?

Spoofing is meestal niet de logische conclusie, zeker nadat dit binnen 1 maand 2x gebeurd zou ik toch zeker een extra check doen.

Kan je aangeven hoe je het de vorige keer hebt uitgesloten?

Kijk even je /tmp na op scriptjes. Ook al heb je ingesteld dat hier geen scriptjes vanaf mogen worden gestart duidt dit al snel op een veiligheidsprobleem ergens.

Ik manage de server.

De vorige keer heb ik de provider toegang gegeven tot mijn server, want er werd al gesproken van "als het niet opgelost wordt, kan afsluiten het resultaat zijn." Zij (system administrator) hebben het dus zelf onderzocht en niks gevonden.

Nu is de overtreding wat anders (port scan ipv spam mailtjes), maar wel verband houdend. Ik heb nu verwezen naar het vorige probleem en hier nam de provider genoegen mee. Het nieuwe probleem is het IP volgend op het vorige probleem. Denk dus dat hij het rijtje afgaat.

Er zit 5 maand tussen en vind dat een beetje weinig als iemand dit serieus doet.

Weet niet waarom spoofing niet logisch is. Iemand die dat doet, moet bestaande IP's gebruiken en diegene heeft waarschijnlijk een hele lange lijst om zijn praktijken draaiende te kunnen houden. En ik ben een van de gelukkigen.

Geen sciptjes in /tmp

Hoe wil je response krijgen op een port scan als een ander zijn ip spoofed... Tenslotte zou de respons bij jouw terecht komen. Ik vind je spoofing argument ietswat tever gezocht.

Diegene gebruikt niet zijn IP, maar gebruikt die van mij. Volgens mij is dat spoofing. Maar kan zijn dat ik iets mis. Het slachtoffer van de poortscan kan daardoor klagen bij mijn provider. En mijn provider komt daarna naar mij toe.

Diegene gebruikt niet zijn IP, maar gebruikt die van mij.

Staat er toch: Hoe wil je response krijgen op een port scan als een ander zijn ip spoofed...

Mij ontgaat even het nut van een ip spoofen icm port scans, je kan complete botnets huren. Waarom zou iemand een hoop energie in iets steken voor iets wat echt op een hele andere makkelijkere te kiezen weg zou kunnen gaan.

Ik zou nog maar eens een keer goed naar je server gaan kijken, als er daadwerkelijk gescand wordt vanaf jouw ip, dan zal het ook wel daarvandaan komen.

Als je je server onderzoekt terwijl er een rootkit op staat zal je inderdaad weinig vinden.... Installeer eens een rootkithunter om dat uit te vinden. Kijk verder naar verdachte processen in ps auxw output, al kunnen deze 'normale' namen hebben.

Doe eens een lsof en kijk of je (bijvoorbeeld) een apache proces kan vinden in een directory die daar totaal niet hoort.

Staat er toch: Hoe wil je response krijgen op een port scan als een ander zijn ip spoofed...

Mij ontgaat even het nut van een ip spoofen icm port scans, je kan complete botnets huren. Waarom zou iemand een hoop energie in iets steken voor iets wat echt op een hele andere makkelijkere te kiezen weg zou kunnen gaan.

Ik zou nog maar eens een keer goed naar je server gaan kijken, als er daadwerkelijk gescand wordt vanaf jouw ip, dan zal het ook wel daarvandaan komen.

Negen van de tien keer is "spoofing" interdaad vergezocht en een ander woord voor "ik kon niets vinden".
Als het gaat om misbruik waarbij een werkende (tcp) connectie gemaakt is (spam verzonden e.d.) is het zeer onwaarschijnlijk dat dat 'blind' gespoofed is.

Echter, bij poortscans kun je een 'decoy scan' doen. Je spooft een heleboel adressen bij de scan, en in de ruis zit je eigen adres (wat dan niet direct opvalt als 'de' bron).

Het zou wel kunnen dat mensen (script kiddies) daar nog mee spelen, en dat iemand erover klaagt bij alle adressen die in z'n log staan.

Als je je server onderzoekt terwijl er een rootkit op staat zal je inderdaad weinig vinden.... Installeer eens een rootkithunter om dat uit te vinden. Kijk verder naar verdachte processen in ps auxw output, al kunnen deze 'normale' namen hebben.

Doe eens een lsof en kijk of je (bijvoorbeeld) een apache proces kan vinden in een directory die daar totaal niet hoort.

Hier heb ik wat aan. Zal beginnen met de rootkithunter. Heb vanaf hier geen toegang tot mijn server, dus ik moet nog even geduld hebben.

Visser: Dus inderdaad, het is niet onmogelijk dat het niet vanaf mijn server komt.

Dus inderdaad, het is niet onmogelijk dat het niet vanaf mijn server komt. niet onmogelijk, wel onwaarschijnlijk

IP spoofing is heel moeilijk, helemaal als het om een public IP gaat.
Allereerst moet het netwerk waarmee word gewerkt de mogelijkheid hebben om dat IP aan te geven, tenzij je met meerdere klanten in het zelfde VLAN/gedeelde netwerk zit kan iemand daarbuiten niet 123 zeggen, ik WIL dit IP adres gebruiken. Tenzij die partij zelf op het edge van het netwerk zit, en zelfs dan is het niet 100% mogelijk om alles te doen. Maar dat is teveel om uit te leggen.

Als je in het zelfde gedeelde vlan/netwerk zit, kan iedereen in dat netwerk elk IP-adres gebruiken dat het netwerk zelf toestaat.
Maar dan is spoofing meestal wel het laatste, aangezien ze dan gewoon het IP zelf kapen.

Daarnaast, zoals al aangeven.
Gaat de portscan niet werken omdat hij dan terug komt op jouw server, die herkend de originele aanvraag niet en verwerpt hem.

Ik vraag me af hoe jouw provider heeft 'geconstateerd' dat er een portscan is uitgevoerd, heeft deze hier melding van gehad of echt uitgaand dataverkeer waargenomen.
Overigens kan zelfs een lekke website een portscan uitvoeren, zal je over verbazen hoeveel websites lek zijn.

inderdaad - ik zou zoeken naar een website die "gehackt" (al klinkt dit veel te geavanceerd voor wat het maar is) is, en daar even kijken wat voor scriptjes er draaien. Denk eraan dat, mochten ze root-toegang hebben verkregen (exploit of zo), dat je vermoedelijk met een systeem zit waar bvb het ps of het top-commando aangepast zal zijn.

Een tip hierrond: meestal "vergeet" men het "pstree" commando aan te passen, en daar heb je in één oogopslag meteen een duidelijk overzicht van wat loopt. Een verschil tussen ps en pstree geeft dan meteen aan dat je doos exploited is.

Ik vraag me af hoe jouw provider heeft 'geconstateerd' dat er een portscan is uitgevoerd, heeft deze hier melding van gehad of echt uitgaand dataverkeer waargenomen.

Dat hebben ze niet. De eerste keer zou ik grote hoeveelheden spam hebben verstuurd. Dit hebben ze onderzocht en niks gevonden. De tweede keer ging het om poortscan. Ik heb verwezen naar het eerste probleem en dat er onderzocht was dat het niet van mijn server afkwam. Dus ik denk dat de provider gedacht heeft van het eerste probleem was vals, dus het tweede zal ook wel vals alarm zijn. En vermoedelijk heeft men ook niet zo'n zin om hier weer in te gaan spitten.

Willem,

Als jouw server spam verstuurt, kan je provider dit gewoon op hun firewall voorbij zien komen.
Stuurt iemand uit jouw naam spam, dan zien ze dit simpelweg niet voorbijkomen, omdat het ergens anders vandaan komt.

Ip-spoofing is een techniek, en geen mythe, en al helemaal geen woord om je eigen gebrek aan netwerkkennis mee te verbloemen.
Als je dit probleem serieus wilt aanpakken, plaats dan een eigen firewall tussen je server en het internet, en kijk daar naar het door je server gegenereerde verkeer, of laat je provider dit doen.
Hiervoor heb je dus geen linux kennis of windows kennis meer nodig, hoef je geen provider op je bak toe te laten, en kun je alle verkeer in mooie taartdiagrammen en overzichtjes uitdraaien.

UDP kun je spoofen.
TCP is vrijwel onspoofbaar.
Dit omdat TCP een reactie verwacht, UDP word gestuurd en mja, je kan dan als source IP eigenlijk alle IP adressen gebruiken als source.
UDP wordt veelal gebruikt voor DDoS aanvallen, omdat het spoofen ervan uiterst simpel is.

Je provider heeft echt niet zelf de port scan waargenomen hoor. En ook de spam melding hebben ze waarschijnlijk niet zelf ontdekt. Er wordt actie ondernomen op basis van abuse meldingen.

Wat rkhunter doet, maar wat je ook zelf in een snel bash script kunt plaatsen is het volgende:


#!/bin/bash
# look for running process which files have been deleted
echo "";
echo "Searching for running processes of which the executable has been deleted";
for bashpid in `lsof -nP | grep '(deleted)' | grep 'REG' | grep 'txt' | grep -v '/bin/bash' | grep -v '/sbin/brcm_iscsiuio' | awk '{print $2}'`; do
# we have the pid, get the original location
bashscript=`lsof -nNp ${bashpid} | grep 'REG' | grep 'txt' | awk '{print $10}'`
echo "Found: ${bashscript} (deleted)";

# get network connections
bashnet=`lsof -nP -p ${bashpid} | grep "IPv4" | grep -v "UDP" | awk '{print $8}'`
echo "WARNING: Script running under PID ${bashpid}";

# check if any network connections are open
if [ `echo ${bashnet} | grep -c '[0-9]'` -ne "0" ]; then
echo "Open network connections from ${bashscript}";
echo "PID ${bashpid} -- ${bashnet}";
fi
echo "-";
done
echo "Done.";

Het is bij ons onderdeel van een wat grotere check en ik weet dat het soms wat false positives geeft. Maar over het algemeen is het vrij accuraat en het helpt ons bij het opsporen van dit soort meldingen. Misschien dat anderen hier nog toevoegingen of aanpassingen op hebben. Dit zoekt overigens alleen voor de executables die nog draaien in het geheugen maar verwijderd zijn van de server. Alles wat er nog staat laat dit dus niet zien. Maar het geeft je een idee hoe en wat je kunt zoeken.

Gebruik laatste OpenSSH en OpenSSL ALTIJD wanneer je een schone machine gebruikt.
Compile deze, en configureer om CERTIFICATE ONLY logins te gebruiken voor SSH.
Blokkeer dan de user/pass login, deze is namelijk zo hackable als de pest (uit ervaring).
Certificaat login only is de meest veilige setup, en wellicht moet je eens jailkit googlen en eens bekijken, daarmee kun je hackers het moeilijker maken om je machine in de war te schoppen.