aH, *port*scans dus. Dat is bij mij 0,0. De serverd/routerd
daarentegen wel.
Irritanter vind ik die brain-dead IIS worms die ook bijv.
Apache en Thttpd proberen aan te vallen. Dat gaat continu
door. Een keer had ik net Apache geapt-get, en terwijl ik
zat te configureren kwamen de eerste bogus requests al
binnen. Nee ik heb geen ..%4c..%4c../winnt/system32/cmd.exe
oid, laat me met rust! :P
Het viel me tevens op (maar het zegt nix, want het kan
vervalst zijn) dat er vaak Windows 98 in de ua van die
requests stond.
Ik heb ssh ook naar een andere poort verhuist, want er zijn
ook brain-dead progs die proberen in te loggen als 'john',
'susan' en andere gangbare engelse namen. Dat word allemaal
gelogd en krijg ik op me mat van logcheck e.d..
Eigenlijk is het een soort survival-of-the-fittest achtig
idee. Zodra je een vulnerable bak aan het Internet hangt
duurt het niet lang voordat die succesvol is aangevallen.
Beveiligde bakken blijven prima in orde. Zo verdwijnen
vanzelf de onveilige bakken, tenzij ze slaaf worden van
spammers wat helaas veel te vaak voorkomt, of crackers die
dan weer een afleidingsroute erbij hebben, en criminelen
helpen is ook crimineel. Vulnerable computers aan het
netwerk is een gevaar voor het hele netwerk. Ze kunnen
gebruikt worden voor meer portscans en (DDoS) aanvallen (en
spam).
De boel firewallen is leuk (althans ik vind het leuk om
mooie rulesets te schrijven), maar dat is wel een lapmiddel
wat open poorten e.d. betreft. Beter is om daemons goed te
configureren in de eerste plaats, en daarna bijv
shellbinders preventief te blokkeren in de firewall (werkt
nooit 100%, maarja niets is perfect).
Portscan detectors en andere NIDS programma's zijn ook
handige tools, en intern LaBrea tarpits. Met het eerste kan
de aanvaller automatisch worden geblokkeerd en met het
laatste kunnen ze worden misleid.
En als laatste punt, nmap (en z'n soortgenoten) is een hele
handige tool dat heel erg nuttig kan zijn, in de goede
handen. Niet alle portscans zijn 'slecht', het is bedoeld
als deel van een diagnose om veiligheid mee te verhogen.
Leuke poll, 17 mensen tot dusver hebben 1600 scans per dag!
Overkomt het ze gewoon, doen ze het zelf, of hebben ze een
/8 (of meer)?