Die Logfiles analysieren wir regelmäßig, um Angriffe oder bereits bestehende Infektionen zu erkennen.
Aus dem Internet kommt der Hauptanteil der Angriffe. Oft sieht man hier auch die Folgen der Aktionen,
die der Vorbesitzer einer IP-Adresse verursacht hat. Diese zeigen sich meist dann, wenn der Provider
dem Kunden eine neue IP-Adresse zuweist.
Die Alarme werden aktuell noch optimiert, um Anzahl der False-Positives zu reduzieren. Dabei werden bekannte
Vorfälle, welche nicht relevant sind, aus der Alarmierung genommen.
Nachfolgend sieht man die Alarme am WAN Interface nach Häufigkeit sortiert:
25403 null
458 ET SCAN Suspicious inbound to Oracle SQL port 1521
419 ET COMPROMISED Known Compromised or Hostile Host Traffic
407 ET POLICY HTTP traffic on port 443 (CONNECT)
361 ET TOR Known Tor Relay/Router (Not Exit) Node Traffic
313 ET SCAN Potential SSH Scan
270 ET SCAN MS Terminal Server Traffic on Non-standard Port
185 ET SCAN Zmap User-Agent (Inbound)
124 ET TOR Known Tor Exit Node Traffic
87 ET POLICY DNS Query for TOR Hidden Domain .onion Accessible Via TOR
44 GPL POLICY PCAnywhere server response
43 ET SCAN HID VertX and Edge door controllers discover
36 ET SCAN Laravel Debug Mode Information Disclosure Probe Inbound
31 ET EXPLOIT MVPower DVR Shell UCE
22 ET EXPLOIT Apache HTTP Server 2.4.49 - Path Traversal Attempt (CVE-2021-41773) M2
19 ET HUNTING Suspicious Chmod Usage in URI (Inbound)
18 ET POLICY External Oracle T3 Requests Inbound
18 ET EXPLOIT Realtek SDK - Command Execution/Backdoor Access Inbound (CVE-2021-35394)
17 ET SCAN Mirai Variant User-Agent (Inbound)
15 ET SCAN NETWORK Incoming Masscan detected
14 ET SCAN JAWS Webserver Unauthenticated Shell Command Execution
13 ET EXPLOIT HackingTrio UA (Hello, World)
13 ET EXPLOIT Apache HTTP Server - Path Traversal Attempt (CVE-2021-42013) M2
8 ET EXPLOIT Netgear DGN Remote Command Execution
5 ET POLICY External IP Lookup Domain (ipapi .co in DNS lookup)
5 ET HUNTING Suspicious PHP Code in HTTP POST (Inbound)
4 ET SCAN Internal Dummy Connection User-Agent Inbound
4 ET POLICY PE EXE or DLL Windows file download HTTP
4 ET POLICY DNS Query to DynDNS Domain *.ddns .net
4 ET HUNTING Observed DNS Query for OpenNIC Alternative DNS TLD (.null)
4 ET EXPLOIT D-Link Devices Home Network Administration Protocol Command Execution
3 ET HUNTING Observed Let's Encrypt Certificate for Suspicious TLD (.xyz)
3 ET EXPLOIT Hikvision IP Camera RCE Attempt (CVE-2021-36260)
3 ET EXPLOIT Apache HTTP Server 2.4.49 - Path Traversal Attempt (CVE-2021-41773) M1
2 ET SCAN Sipvicious Scan
2 ET SCAN SFTP/FTP Password Exposure via sftp-config.json
2 ET SCAN Potential SSH Scan OUTBOUND
2 ET POLICY possible Xiaomi phone data leakage DNS
2 ET POLICY HTTP traffic on port 443 (POST)
2 ET EXPLOIT Zimbra <8.8.11 - XML External Entity Injection/SSRF Attempt (CVE-2019-9621)
2 ET EXPLOIT Possible Zimbra Autodiscover Servlet XXE (CVE-2019-9670)
2 ET EXPLOIT Cisco IOS XE Web Server Possible Authentication Bypass Attempt (CVE-2023-20198) (Inbound)
1 ET SCAN Yandex Webcrawler User-Agent (YandexBot)
1 ET SCAN Sipvicious User-Agent Detected (friendly-scanner)
1 ET SCAN LeakIX Inbound User-Agent
1 ET EXPLOIT Possible Apache log4j RCE Attempt - 2021/12/12 Obfuscation Observed M2 (udp) (CVE-2021-44228)
1 ET EXPLOIT Linux/Attempted Hosts File Exfil
1 ET EXPLOIT file_put_contents php base64 encoded Remote Code Execution 1
Der Kunde betreibt an seinem Anschluss auch eine Fritzbox. Diese bedient
die IP-Telefone im Unternehmen. Wenn wir uns die Liste noch einmal genauer
anschauen, bemerken wir, dass die Fritzbox einige Angriffe aushalten müsste.
Die
SIPVicious tool suite
beispielsweise, besteht aus mehreren einzelnen Tools, mit denen sich Passwörter
von SIP Accounts erraten lassen. Diese Tools findet man besonders oft. Hat man damit
erst einmal Passwörter gefunden, kann ein Angreifer
die Telefonnummer übernehmen und Gespräche zu 0900-Servicenummern aufbauen, an denen
er meist selbst Gewinn macht.
Auf einer Fritzbox bekommt man leider nicht mit, daß ein entsprechender Anteil der
Bandbreite eigentlich für einen Angriff verbraucht wird. Anders als auf einem Intrusion-Detection-System.
Falls Angriffe stattgefunden haben, sind diese hier zu sehen:
2 ET SCAN Sipvicious Scan
1 ET SCAN Sipvicious User-Agent Detected (friendly-scanner)
Da wir diese Angriffe bereits auf der vorgelagerten OPNsense-Firewall erkennen,
lassen sich diese blockieren und erreichen die Fritzbox somit nicht.
Diese Webseite aktualisieren wir täglich, um ihnen einen Eindruck zu vermitteln,
welchen Angriffen auch ihr heimischer DSL-Anschluss ausgesetzt ist.
Für ein kleines Unternehmen sind die Folgen eines erfolgreichen Angriffs sicherlich grösser, sollten
interne Daten verloren gehen. Weitaus schlimmer: Die Firmendaten finden sich
im Internet wieder und dokumentieren den schlechten Umgang mit sensiblen
Informationen.
Damit genau das nicht passiert, ist Netzwerk-Sicherheit kombiniert mit
Host-Security und einer gut abgestimmten Backup-Strategie die beste Vorbereitung,
einen bevorstehenden Schaden soweit wie möglich in die Zukunft zu verschieben...
... denn die Frage ist nicht: "Ob es passiert?", sondern: "Wann?".
