Onderwerp: Gehackt of niet.

Kreeg gisteren een berichtje van mijn provider. Er is over mij geklaagd. Mijn IP zou zijn gebruikt bij poort scans. Een paar maand geleden was er een klacht over het verzenden van spam met een van mijn andere IP's. Dit laatste is uitgebreid onderzocht, maar er is niks gevonden. Nu dus weer. Ik ben de enige die toegang heeft tot de server en het zit behoorlijk dicht. Maak me echt geen illusies; waterdicht lukt nooit. Ik draai op FreeBSD.

Weet dus bijna wel zeker dat het om IP spoofing gaat en waar ik weinig aan kan doen. Maar hoe kan ik controleren of er toch niet iets op mijn server draait.

wat voor bewijs is er?

Wie managed de server? Jij ?

Spoofing is meestal niet de logische conclusie, zeker nadat dit binnen 1 maand 2x gebeurd zou ik toch zeker een extra check doen.

Kan je aangeven hoe je het de vorige keer hebt uitgesloten?

Kijk even je /tmp na op scriptjes. Ook al heb je ingesteld dat hier geen scriptjes vanaf mogen worden gestart duidt dit al snel op een veiligheidsprobleem ergens.

Ik manage de server.

De vorige keer heb ik de provider toegang gegeven tot mijn server, want er werd al gesproken van "als het niet opgelost wordt, kan afsluiten het resultaat zijn." Zij (system administrator) hebben het dus zelf onderzocht en niks gevonden.

Nu is de overtreding wat anders (port scan ipv spam mailtjes), maar wel verband houdend. Ik heb nu verwezen naar het vorige probleem en hier nam de provider genoegen mee. Het nieuwe probleem is het IP volgend op het vorige probleem. Denk dus dat hij het rijtje afgaat.

Er zit 5 maand tussen en vind dat een beetje weinig als iemand dit serieus doet.

Weet niet waarom spoofing niet logisch is. Iemand die dat doet, moet bestaande IP's gebruiken en diegene heeft waarschijnlijk een hele lange lijst om zijn praktijken draaiende te kunnen houden. En ik ben een van de gelukkigen.

Geen sciptjes in /tmp

Hoe wil je response krijgen op een port scan als een ander zijn ip spoofed... Tenslotte zou de respons bij jouw terecht komen. Ik vind je spoofing argument ietswat tever gezocht.

Diegene gebruikt niet zijn IP, maar gebruikt die van mij. Volgens mij is dat spoofing. Maar kan zijn dat ik iets mis. Het slachtoffer van de poortscan kan daardoor klagen bij mijn provider. En mijn provider komt daarna naar mij toe.

Oorspronkelijk geplaatst door WillemP

Diegene gebruikt niet zijn IP, maar gebruikt die van mij.

Staat er toch: Hoe wil je response krijgen op een port scan als een ander zijn ip spoofed...

Mij ontgaat even het nut van een ip spoofen icm port scans, je kan complete botnets huren. Waarom zou iemand een hoop energie in iets steken voor iets wat echt op een hele andere makkelijkere te kiezen weg zou kunnen gaan.

Ik zou nog maar eens een keer goed naar je server gaan kijken, als er daadwerkelijk gescand wordt vanaf jouw ip, dan zal het ook wel daarvandaan komen.

Als je je server onderzoekt terwijl er een rootkit op staat zal je inderdaad weinig vinden.... Installeer eens een rootkithunter om dat uit te vinden. Kijk verder naar verdachte processen in ps auxw output, al kunnen deze 'normale' namen hebben.

Doe eens een lsof en kijk of je (bijvoorbeeld) een apache proces kan vinden in een directory die daar totaal niet hoort.

Oorspronkelijk geplaatst door Mikey

Staat er toch: Hoe wil je response krijgen op een port scan als een ander zijn ip spoofed...

Mij ontgaat even het nut van een ip spoofen icm port scans, je kan complete botnets huren. Waarom zou iemand een hoop energie in iets steken voor iets wat echt op een hele andere makkelijkere te kiezen weg zou kunnen gaan.

Ik zou nog maar eens een keer goed naar je server gaan kijken, als er daadwerkelijk gescand wordt vanaf jouw ip, dan zal het ook wel daarvandaan komen.

Negen van de tien keer is "spoofing" interdaad vergezocht en een ander woord voor "ik kon niets vinden".
Als het gaat om misbruik waarbij een werkende (tcp) connectie gemaakt is (spam verzonden e.d.) is het zeer onwaarschijnlijk dat dat 'blind' gespoofed is.

Echter, bij poortscans kun je een 'decoy scan' doen. Je spooft een heleboel adressen bij de scan, en in de ruis zit je eigen adres (wat dan niet direct opvalt als 'de' bron).

Het zou wel kunnen dat mensen (script kiddies) daar nog mee spelen, en dat iemand erover klaagt bij alle adressen die in z'n log staan.

Oorspronkelijk geplaatst door Paulewk

Als je je server onderzoekt terwijl er een rootkit op staat zal je inderdaad weinig vinden.... Installeer eens een rootkithunter om dat uit te vinden. Kijk verder naar verdachte processen in ps auxw output, al kunnen deze 'normale' namen hebben.

Doe eens een lsof en kijk of je (bijvoorbeeld) een apache proces kan vinden in een directory die daar totaal niet hoort.

Hier heb ik wat aan. Zal beginnen met de rootkithunter. Heb vanaf hier geen toegang tot mijn server, dus ik moet nog even geduld hebben.

Visser: Dus inderdaad, het is niet onmogelijk dat het niet vanaf mijn server komt.

Oorspronkelijk geplaatst door WillemP

Dus inderdaad, het is niet onmogelijk dat het niet vanaf mijn server komt.

niet onmogelijk, wel onwaarschijnlijk

IP spoofing is heel moeilijk, helemaal als het om een public IP gaat.
Allereerst moet het netwerk waarmee word gewerkt de mogelijkheid hebben om dat IP aan te geven, tenzij je met meerdere klanten in het zelfde VLAN/gedeelde netwerk zit kan iemand daarbuiten niet 123 zeggen, ik WIL dit IP adres gebruiken. Tenzij die partij zelf op het edge van het netwerk zit, en zelfs dan is het niet 100% mogelijk om alles te doen. Maar dat is teveel om uit te leggen.

Als je in het zelfde gedeelde vlan/netwerk zit, kan iedereen in dat netwerk elk IP-adres gebruiken dat het netwerk zelf toestaat.
Maar dan is spoofing meestal wel het laatste, aangezien ze dan gewoon het IP zelf kapen.

Daarnaast, zoals al aangeven.
Gaat de portscan niet werken omdat hij dan terug komt op jouw server, die herkend de originele aanvraag niet en verwerpt hem.

Ik vraag me af hoe jouw provider heeft 'geconstateerd' dat er een portscan is uitgevoerd, heeft deze hier melding van gehad of echt uitgaand dataverkeer waargenomen.
Overigens kan zelfs een lekke website een portscan uitvoeren, zal je over verbazen hoeveel websites lek zijn.

inderdaad - ik zou zoeken naar een website die "gehackt" (al klinkt dit veel te geavanceerd voor wat het maar is) is, en daar even kijken wat voor scriptjes er draaien. Denk eraan dat, mochten ze root-toegang hebben verkregen (exploit of zo), dat je vermoedelijk met een systeem zit waar bvb het ps of het top-commando aangepast zal zijn.

Een tip hierrond: meestal "vergeet" men het "pstree" commando aan te passen, en daar heb je in één oogopslag meteen een duidelijk overzicht van wat loopt. Een verschil tussen ps en pstree geeft dan meteen aan dat je doos exploited is.

Oorspronkelijk geplaatst door SebastiaanStok

Ik vraag me af hoe jouw provider heeft 'geconstateerd' dat er een portscan is uitgevoerd, heeft deze hier melding van gehad of echt uitgaand dataverkeer waargenomen.

Dat hebben ze niet. De eerste keer zou ik grote hoeveelheden spam hebben verstuurd. Dit hebben ze onderzocht en niks gevonden. De tweede keer ging het om poortscan. Ik heb verwezen naar het eerste probleem en dat er onderzocht was dat het niet van mijn server afkwam. Dus ik denk dat de provider gedacht heeft van het eerste probleem was vals, dus het tweede zal ook wel vals alarm zijn. En vermoedelijk heeft men ook niet zo'n zin om hier weer in te gaan spitten.