Nieuws

Ierse server in vijf jaar tijd 700.000 keer aangevallen

vrijdag 25 mei 2007, 12:50 door Redactie, 10 reacties

Servers van het Ierse Honeynet project zijn in vijf jaar tijd elk 700.000 keer aangevallen, wat neerkomt om 3000 pogingen per week om de systemen over te nemen. Volgens de onderzoekers achter het project laten de cijfers zien hoe belangrijk het is om aan vulnerability management te doen. "Alleen door het nemen van pro-actieve stappen, en er eerder zijn voordat het te laat is, kun je de vastbesloten aanvallers buiten houden," zegt Colm Murphy.

Murphy geeft de volgende punten voor een succesvolle vulnerability management strategie:

Creëer security policies & controls.

Track je systemen/ categoriseer je assets.

Scan systemen op kwetsbaarheden.

Vergelijk de lekken met je systemen.

Classificeer je risico's.

Test de patches van tevoren.

Pas de patches toe.

Scan alles opnieuw en bevestig de fixes.

Spam minder gehaat door consumenten

EU wil niet dat Google zoekopdrachten 2 jaar bewaart

Reacties (10)

25-05-2007, 12:55 door Anoniem

We kunnen dit natuurlijk blijven herkauwen, maar het is echt
geen nieuws meer.

25-05-2007, 12:59 door _Peterr

Definieer aanval.

Wat is een aanval? NMAP, is dat al een aanval? Of een request naar de SSH poort?

Ik vind dit soort verhalen altrijd een beetje overdreven. Alsof de Hackergemeenschap 3000 aanvallen per week doet op 1 server (Cluster).

25-05-2007, 13:45 door Anoniem

Tja, je kunt je natuurlijk afvragen waarom JIJ toevallig een nmap scan doet
op een server in Ierland..> waar was dat voor nodig ?

Dat is net zoiets als roepen "ik rij elke dag 240km/h, en nu wordt er 1 keer
gecontrolleert en nu krijg ik een bekeuring"...

25-05-2007, 13:57 door Anoniem

Heb een tijdje (3 maanden) een nepenthes honeypot
(http://www.malwarecollect.org) aan mijn ADSL verbinding gehangen
(via demon.nl). 3000 aanvallen per week kan heel aardig
kloppen.
Maar er wordt in het verhaal niet bij verteld dat veel van
deze aanvallen volledig geautomatiseerd zijn. Veel van deze
aanvallen worden uitgevoerd door zombie machines uit een
botnet dat zich op deze manier probeert uit te breiden.
In maart ben ik over gegaan naar xs4all. Toen was het uit
met de pret. xs4all schermt zijn netwerk behoorlijk goed af
van dit soort aanvallen. :-( jammer was wel interessant. :-)

25-05-2007, 14:57 door Anoniem

Door Anoniem
In maart ben ik over gegaan naar xs4all. Toen was het uit
met de pret. xs4all schermt zijn netwerk behoorlijk goed af
van dit soort aanvallen.

Eeehm, wat blokkeert xs4all dan ? Ik kom van cistron naar
xs4all (nee niet dankzij de overname), merk ook wat minder
'ruis' maar kan van buiten prima mijn eigen doos scannen.
Ook dshield logs / snort logged er lustig op los... Dus
graag wat meer info ;-)

25-05-2007, 15:27 door Anoniem

Gaap. Als ik mijn firewall log bekijk en daar iedere
verdachte handeling (probe op gesloten poort) tel als een
inbraakpoging, zal ik vast ook wel in die buurt komen.

25-05-2007, 20:26 door Anoniem

qoute:
____________________________________________________________
Eeehm, wat blokkeert xs4all dan ? Ik kom van cistron naar
xs4all (nee niet dankzij de overname), merk ook wat minder
'ruis' maar kan van buiten prima mijn eigen doos scannen.
Ook dshield logs / snort logged er lustig op los... Dus
graag wat meer info ;-)
-------------------------------------------------------------------------------------------

?? Bij mij komt er bijna niets meer binnen in de logs
zo nu en dan een paketje op 1024 en nog een paar andere
poorten, maar dat zijn er hooguit 20-30 per dag. Ik kan het
verschil niet verklaren. Zou xs4all het overgenomen demon.nl
netwerk extra hebben afgeschermd?

26-05-2007, 18:09 door Anoniem

?? Bij mij komt er bijna niets meer binnen in de logs

Een klein greepje:

May 26 17:31:34 mijn_routertje 1082: May 26 17:31:33.334
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
86.71.104.159(1688) (Dialer0 ) -> 213.84.32.***(4899), 1 packet
May 26 17:31:42 mijn_routertje 1083: May 26 17:31:41.102
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
168.64.140.93(31087) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
May 26 17:36:10 mijn_routertje 1084: May 26 17:36:09.829
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(62074), 1
packet
May 26 17:36:10 mijn_routertje 1085: May 26 17:36:09.829
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(53787), 3
packets
May 26 17:36:10 mijn_routertje 1086: May 26 17:36:09.833
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.162(8000) (Dialer0 ) -> 213.84.32.***(61846), 2
packets
May 26 17:36:10 mijn_routertje 1087: May 26 17:36:09.833
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.163(8000) (Dialer0 ) -> 213.84.32.***(51590), 3
packets
May 26 17:36:10 mijn_routertje 1088: May 26 17:36:09.833
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(60104), 2
packets
May 26 17:36:11 mijn_routertje 1089: May 26 17:36:09.833
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.160(8000) (Dialer0 ) -> 213.84.32.***(56407), 1
packet
May 26 17:36:11 mijn_routertje 1090: May 26 17:36:09.833
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.162(8000) (Dialer0 ) -> 213.84.32.***(57706), 2
packets
May 26 17:36:11 mijn_routertje 1091: May 26 17:36:09.837
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(58698), 2
packets
May 26 17:37:11 mijn_routertje 1092: May 26 17:37:09.882
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.161(8000) (Dialer0 ) -> 213.84.32.***(51802), 2
packets
May 26 17:37:11 mijn_routertje 1093: May 26 17:37:09.882
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.160(8000) (Dialer0 ) -> 213.84.32.***(57581), 1
packet
May 26 17:37:11 mijn_routertje 1094: May 26 17:37:09.886
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
216.250.188.160(8000) (Dialer0 ) -> 213.84.32.***(55643), 2
packets
May 26 17:37:36 mijn_routertje 1095: May 26 17:37:34.842
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
60.12.166.201(49900) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
May 26 17:38:58 mijn_routertje 1096: May 26 17:38:56.703
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
221.208.208.92(36594) (Dialer0 ) -> 213.84.32.***(1027), 1
packet
May 26 17:46:22 mijn_routertje 1097: May 26 17:46:21.365
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied tcp
213.221.92.169(4812) (Dialer0 ) -> 213.84.32.***(143), 1 packet
May 26 17:47:29 mijn_routertje 1098: May 26 17:47:27.826
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
204.16.208.64(35270) (Dialer0 ) -> 213.84.32.***(1027), 1 packet
May 26 17:52:08 mijn_routertje 1100: May 26 17:52:06.670
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
60.12.166.201(54795) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
May 26 17:52:37 mijn_routertje 1101: May 26 17:52:36.126
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
221.209.110.7(41198) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
May 26 17:55:06 mijn_routertje 1102: May 26 17:55:04.736
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
222.161.2.48(60766) (Dialer0 ) -> 213.84.32.***(1026), 1 packet
May 26 17:57:12 mijn_routertje 1103: May 26 17:57:10.742
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
60.12.166.201(54796) (Dialer0 ) -> 213.84.32.***(1027), 1 packet
May 26 17:58:12 mijn_routertje 1104: May 26 17:58:10.791
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
221.209.110.7(41198) (Dialer0 ) -> 213.84.32.***(1027), 1 packet
May 26 18:00:12 mijn_routertje 1105: May 26 18:00:10.872
CEST: %SEC-6-IPACCESSLOGP: list ipv4-inet-in denied udp
222.161.2.48(60769) (Dialer0 ) -> 213.84.32.***(1027), 1 packet

Op dit moment zal er wel iemand een p2p ding draaien ergens,
maar die 143 geeft al aan dat alles < 1024 ook doorgaat,
zoals ik eerder al zei. ICMP wordt niet geblocked dus niet
gelogged.

dst IP-adres obfuscated to prectect the innocent. Het
src-adres aanpassen was me iets teveel werk. Tijd voor een
soort fuzzy sed :-D

27-05-2007, 11:31 door Anoniem

Off-topic:

dat het Murphy betrokken is bij het honey-pot...

(oke, wel een beetje flauw)

31-05-2007, 15:23 door Anoniem

Correctie op voorgaande bericht URL moet zijn http://www.mwcollect.org

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer