Die Logfiles analysieren wir regelmäßig, um Angriffe oder bereits bestehende Infektionen zu erkennen.
Aus dem Internet kommt der Hauptanteil der Angriffe. Oft sieht man hier auch die Folgen der Aktionen,
die der Vorbesitzer einer IP-Adresse verursacht hat. Diese zeigen sich meist dann, wenn der Provider
dem Kunden eine neue IP-Adresse zuweist.
Die Alarme werden aktuell noch optimiert, um Anzahl der False-Positives zu reduzieren. Dabei werden bekannte
Vorfälle, welche nicht relevant sind, aus der Alarmierung genommen.
Nachfolgend sieht man die Alarme am WAN Interface nach Häufigkeit sortiert:
45092 ET SCAN NMAP -sS window 1024
2701 ET SCAN Sipvicious User-Agent Detected (friendly-scanner)
2699 ET SCAN Sipvicious Scan
1282 ET DROP Spamhaus DROP Listed Traffic Inbound
611 ET COMPROMISED Known Compromised or Hostile Host Traffic
587 ET SCAN Suspicious inbound to MSSQL port 1433
341 ET SCAN Suspicious inbound to mySQL port 3306
281 GPL SNMP public access udp
146 ET SCAN Suspicious inbound to PostgreSQL port 5432
139 GPL RPC portmap listing UDP 111
100 GPL EXPLOIT ntpdx overflow attempt
83 ET SCAN Suspicious inbound to Oracle SQL port 1521
73 GPL DNS named version attempt
47 GPL RPC xdmcp info query
41 ET POLICY possible OnePlus phone data leakage DNS
17 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
14 ET VOIP Modified Sipvicious Asterisk PBX User-Agent
11 GPL POLICY PCAnywhere server response
10 ET SCAN NMAP -sA (1)
9 ET SCAN Suspicious inbound to mSQL port 4333
6 ET SCAN NMAP -sS window 2048
6 ET SCAN NMAP -f -sV
6 ET SCAN HID VertX and Edge door controllers discover
3 ET SCAN NMAP -sS window 3072
2 MALWARE-CNC Win.Trojan.ZeroAccess inbound connection
2 ET SCAN Potential VNC Scan 5900-5920
2 ET SCAN Potential SSH Scan
2 ET SCAN NMAP -sS window 4096
2 ET SCAN MS Terminal Server Traffic on Non-standard Port
1 GPL SCAN nmap TCP
1 ET TOR Known Tor Relay/Router (Not Exit) Node Traffic
1 ET TOR Known Tor Exit Node Traffic
1 ET DOS Possible NTP DDoS Inbound Frequent Un-Authed MON_LIST Requests IMPL 0x03
Der Kunde betreibt an seinem Anschluss auch eine Fritzbox. Diese bedient
die IP-Telefone im Unternehmen. Wenn wir uns die Liste noch einmal genauer
anschauen, bemerken wir, dass die Fritzbox einige Angriffe aushalten müsste.
Die
SIPVicious tool suite
beispielsweise, besteht aus mehreren einzelnen Tools, mit denen sich Passwörter
von SIP Accounts erraten lassen. Diese Tools findet man besonders oft. Hat man damit
erst einmal Passwörter gefunden, kann ein Angreifer
die Telefonnummer übernehmen und Gespräche zu 0900-Servicenummern aufbauen, an denen
er meist selbst Gewinn macht.
Auf einer Fritzbox bekommt man leider nicht mit, daß ein entsprechender Anteil der
Bandbreite eigentlich für einen Angriff verbraucht wird. Anders als auf einem Intrusion-Detection-System.
Falls Angriffe stattgefunden haben, sind diese hier zu sehen:
2701 ET SCAN Sipvicious User-Agent Detected (friendly-scanner)
2699 ET SCAN Sipvicious Scan
14 ET VOIP Modified Sipvicious Asterisk PBX User-Agent
Da wir diese Angriffe bereits auf der vorgelagerten OPNsense-Firewall erkennen,
lassen sich diese blockieren und erreichen die Fritzbox somit nicht.
Diese Webseite aktualisieren wir täglich, um ihnen einen Eindruck zu vermitteln,
welchen Angriffen auch ihr heimischer DSL-Anschluss ausgesetzt ist.
Für ein kleines Unternehmen sind die Folgen eines erfolgreichen Angriffs sicherlich grösser, sollten
interne Daten verloren gehen. Weitaus schlimmer: Die Firmendaten finden sich
im Internet wieder und dokumentieren den schlechten Umgang mit sensiblen
Informationen.
Damit genau das nicht passiert, ist Netzwerk-Sicherheit kombiniert mit
Host-Security und einer gut abgestimmten Backup-Strategie die beste Vorbereitung,
einen bevorstehenden Schaden soweit wie möglich in die Zukunft zu verschieben...
... am Besten hunderte von Jahren...
