| Start » Informationen » Themen » Incident Response » Meldungen vom DFN-CERT

Meldungen vom DFN-CERT

Das DFN-CERT meldet sich bei Ihnen, wenn wir auf Vorfälle im Zusammenhang mit IP-Adressen Ihrer Domain aufmerksam gemacht wurden. Dies können z.B. Portscans oder Account Probes sein, die im Allgemeinen darauf hinweisen, dass das jeweilige System von Angreifern kontrolliert wird.

Diese automatisch erstellten Informationen werden an die betroffenen Einrichtungen gesammelt weitergeleitet. Die unterschiedlichen Meldungstypen werden im Folgenden kurz erläutert. Bitte beachten Sie:

Die Meldungen leiten wir immer nur zu Ihrer Information weiter. Wir freuen uns über Rückmeldungen und können Ihnen oft noch weitere Informationen liefern oder Sie bei bestimmten Problemen beraten.
Wir gehen davon aus, dass Sie im Zweifel über Probleme informiert werden wollen, damit Sie dann entscheiden können, wie Sie weiter reagieren.
Die Meldungen enthalten normalerweise einen Zeitstempel, der angibt, wann das Problem zuletzt beobachtet wurde. Die Information selbst erreichte uns aber meist erst später. Die Verzögerung entstand ggfs. durch die Weiterleitung durch verschiedene Stellen, aber nicht beim DFN-CERT.

Die Daten werden beim CERT über einen kurzen Zeitraum gesammelt, damit wir Ihnen nicht ununterbrochen neue Meldungen schicken müssen. Wenn bei uns Hinweise auf gravierendere Probleme wie einen Einbruch in einen Server oder ähnliches eintreffen, werden wir Sie immer direkt informieren!

Meldung: Account Probe

Account Probes sind Login-Versuche von Angreifern über SSH, FTP oder CGI-Anwendungen. Dabei wird versucht, den Namen und das Passwort eines legitimen Benutzers zu erraten, um so Zugang zum Dienst oder System zu erlangen. Die Angreifer setzen normalerweise Listen mit wahrscheinlichen Namen und Passwörtern ein. Der Angriff ist an vielen erfolglosen Anmeldeversuchen zu erkennen, die oft von Systemen erfolgen, die nichts mit Ihrer Domain zu tun haben. Diese Art des Angriffs wird auch Brute-Force-Angriff, Passwort-Rate-Angriff oder Dictionary-Attack genannt.

Ein solcher Angriff kann z.B. so in den Logs auftauchen:

Mar 22 07:59:58 edna sshd[32292]: Failed password for invalid user root from 192.168.25.50 port 42428 ssh2
Mar 22 07:59:58 edna sshd[32296]: Connection from 192.168.25.50 port 42533
Mar 22 07:59:59 edna sshd[32296]: User root from 192.168.25.50 not allowed because not listed in AllowUsers
Mar 22 07:59:59 edna sshd[32296]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh \
ruser= rhost=192.168.25.50  user=root
Mar 22 08:00:01 edna sshd[32296]: Failed password for invalid user root from 192.168.25.50 port 42533 ssh2
Mar 22 08:00:02 edna sshd[32326]: Connection from 192.168.25.50 port 42676
Mar 22 08:00:03 edna sshd[32326]: User root from 192.168.25.50 not allowed because not listed in AllowUsers
Mar 22 08:00:03 edna sshd[32326]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh \
ruser= rhost=192.168.25.50  user=root

Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, ist Ihr System durch solche Angriffe aufgefallen, d.h. entweder führt ein lokaler Benutzer Böses im Schilde oder (wahrscheinlicher) in Ihr System wurde bereits auf genau diesem Wege eingebrochen.

SSH Account Probes waren ein Thema des Vortrags Neues aus dem DFN-CERT (PDF, 24 S., 687 KB) im Arbeitskreis Security auf der 43. DFN-CERT-Betriebstagung (am 19. Oktober 2005).

Meldung: Bot

Als Bot-Netz wird eine Menge von Systemen bezeichnet, die von einem Angreifer kontrolliert werden. Das sind meistens normale Büro- oder Arbeitsplatz- PCs, in die durch eine beliebige Schwachstelle eingebrochen wurde. Danach installiert der Angreifer eine Software (die sog. Bot-Software), die versteckt auf dem System läuft und über einen so genannten Control Channel eine Verbindung zu einem zentralen Server hält, über den die Angreifer dem System - zusammen mit allen anderen von Ihnen kontrollierten Rechnern - Befehle geben können.

In der Praxis wird als zentraler Server von den Angreifern oft ein IRC-Server verwendet. Die Bot-Software kontaktiert via IRC-Protokoll einen bestimmten Channel und wartet dort auf Befehle.

Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, wird Ihr System wahrscheinlich durch einen Angreifer kontrolliert und erhält Befehle über einem zentralen Server. Ihr System wird dann z.B. genutzt, um unerwünschte Werbemail zu versenden, Portscans zu machen oder weitere Systeme anzugreifen, die dem Ausbau des Bot-Netzes dienen. Die Bots suchen häufig auch nach Lizenzschlüsseln von Software (Spiele, Windows, Office), Passwörtern (für Homebanking, E-bay, PayPal, etc.), betreiben Sniffer, Keylogger und dergleichen.

Wenn Sie eine Meldung wegen Werbemails, Portscans oder ähnlichem erhalten, kann Ihr System darüber hinaus Teil eines Bot-Netzes sein. Werbemails, Portscans u.ä. sind nur die Kontroll-Komponente, die Schad-Funktionen der Bot-Software variieren stark.

Bot-Netze waren ein Thema des Vortrags Neues aus dem DFN-CERT (PDF, 24 S., 687 KB) im Arbeitskreis Security auf der 43. DFN-Betriebstagung (19. Oktober 2005) und sind ein Schwerpunkt des DFN-CERT Tutoriums Incident Response unter UNIX und Windows

hr System ist aufgefallen, weil es z.B. eine Verbindung zu einem Control-Channel auf einem Botnet-Server gehalten hat, oder weil von dem System ausgehende Verbindungen erkannt wurden, die in der Regel auf eine bestimmte Bot-Software hinweisen. Teilweise kann in den Meldungen des DFN-CERT auch zwischen verschiedenen Arten von Bot-Software unterschieden werden:

Bot: Dipnet

Die Bot-Software Dipnet (auch Oddbob genannt) verwendet eine ältere LSASS-Schwachstelle (MS04-011), um sich zu verbreiten. Ist ein System infiziert, verbindet es sich zu einem privaten IRC-Server. Die Bot-Software führt Scans nach Port 15118/TCP durch, wodurch Sie normalerweise entdeckt wird. Eine Analyse des Bots ist bei LURHQ zu finden.

Bot: Phatbot

Die Bot-Software Phatbot ist modular aufgebaut und bietet den Angreifern eine Vielzahl von Befehlen als auch Exploits zur weiteren Verbreitung. Die Bot-Software fällt durch bestimmte HTTP-Requests auf, die wahrscheinlich zur Bandbreiten-Messung an eine Reihe von Webseiten gerichtet werden. Eine Analyse des Bots ist bei LURHQ und beim CERT Coordination Center zu finden.

Bot: Spybot

Die Bot-Software W32.Spybot.WON benutzt eine Schwachstelle im Windows Plug-and-Play Interface (MS05-039) zur weiteren Verbreitung. Weitere Informationen sind beim AntiViren-Hersteller Symantec zu finden.

Bot: Toxbot

Die Bot-Software W32.Toxbot benutzt eine Vielzahl von Exploits um sich weiter zu verbreiten. Ist ein System infiziert, versucht sich der Bot zu einem Kontroll-Server auf Port 6556/TCP oder 1023/TCP zu verbinden. Weitere Informationen zur Bot-Software ist bei den AntiViren-Herstellern Symantec und CA zu finden.

Bot: sinit

Die Bot-Software sinit verwendet nicht IRC als Control-Channel, sondern UDP-Pakete an Port 53, die DNS-Paketen ähneln. Weiterhin verwendet sinit ein dezentrales Peer-to-Peer-Modell, um Befehle zu empfangen und zu verbreiten, was eine Aufdeckung relativ schwierig macht. Die Bot-Software fällt durch die Kommunikation auf Port 53/UDP auf. Eine Analyse des Bots ist bei LURHQ zu finden.

Meldung: IDS-Meldung

Allgemeine IDS-Meldungen werden dem DFN-CERT normalerweise von anderen CERTs zur Verfügung gestellt. Die Meldungen werden meistens durch Portscans oder konkrete Angriffsversuche ausgelöst.

Meldung: Offener Proxy

Ein offener Proxy-Server wird häufig missbraucht, um unerwünschte Werbemail (SPAM) zu verschicken. Evtl. ist der Proxy von einer Bot-Software gestartet worden oder es handelt sich um einen regulären Proxy, der nicht ausreichend gegen Missbrauch abgesichert wurde.

Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, ist Ihr System durch den Versand von SPAM aufgefallen, der von einem offenen Proxy-Server auf Ihrem System zu stammen scheint.

Meldung: Phishing Site

Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, wird auf Ihrem System eine Phishing Site betrieben. D.h. es ist http://www.antiphishing.org/ zu finden.

Meldung: Portscan

Bei einem Portscan versuchen Angreifer herauszufinden, auf welchen Systemen ein bestimmter Dienst angeboten wird (z.B. ein Scan nach Port 445/TCP bzgl. der Anwendung Dameware) oder welche Dienste auf einem System installiert sind. Da Portscans oft von einer Firewall entdeckt werden, die gleichzeitig weitere Verbindungen unterbindet, ist oftmals nicht klar, ob auch direkt ein Angriff folgen würde oder nur ein Portscan durchgeführt wird.

Portscans sind leider alltäglich, aber meist steckt tatsächlich ein System dahinter, das von Angreifern kontrolliert wird. Daher sollten Portscans nicht ignoriert werden.

Meldung: SPAM-Beschwerde

Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, scheint von Ihrem System unerwünschte Werbemail (SPAM) verschickt worden zu sein. Dies kann z.B. durch eine Bot-Software oder einen offenen Proxy geschehen sein. Manchmal werden leider die Header der beanstandeten E-Mail nicht korrekt ausgewertet, zudem führen unterschiedliche Auffassungen von unerwünscht zu Falschmeldungen. Treffen allerdings mehrere Beschwerden gleichzeitig ein (bei den Meldungen des DFN-CERTs durch die Anzahl kenntlich gemacht), so ist dies ein relativ sicheres Zeichen, dass ein Problem vorliegt und Ihr System tatsächlich SPAM verschickt.

Meldung: Virus/Wurm

Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, ist Ihr System wahrscheinlich von einer (evtl. angegebenen) Schadsoftware infiziert. Das DFN-CERT wurde in diesem Fall durch eine Virus- oder Wurm-spezifische Verbindung auf Ihr System aufmerksam.

Virus/Wurm: Blaster

Der Wurm Blaster verbreitet sich über eine Schwachstelle im Microsoft RPC-Interface (MS03-026). Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, ist Ihr System durch Blaster-typische Verbindungen zu Port 135/TCP aufgefallen, bei denen das SYN-Bit gesetzt ist, aber ACK, PSH und URG nicht. Nähere Informationen zu Blaster sind beim CERT Coordination Center zu finden.

Virus/Wurm: Mydoom

Mit Mydoom infizierte Systeme sind besonders gefährdet, da die Schadsoftware selbst eine Übernahme des Systems durch weitere Angreifer ermöglicht. Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, wurde Ihr System durch einen Portscan nach Port 3127/TCP entdeckt. Nähere Informationen zu Blaster sind bei F-Secure zu finden.

Virus/Wurm: Beagle

Beagle (bzw. Bagle) verbreitet sich durch gefälschte Mails und über Peer-to-Peer-Netzwerke. Beagle öffnet eine Backdoor (oft Port 81/TCP oder Port 2745/TCP) und wird häufig zum Verschicken unerwünschter Werbemail (SPAM) benutzt.

Wenn Sie eine derartige Meldung vom DFN-CERT erhalten, fiel Ihr System durch spezielle HTTP-Anfragen auf, die von Beagle zur Bandbreiten-Messung an eine Reihe von Webseiten gerichtet werden. Dabei wird versucht eine bestimmte (meist nicht existierende) Datei aus dem Wurzelverzeichnis (der HTTP-Root) des Webservers herunterzuladen. Der konkrete Server und der Dateiname können dabei variieren. Auffällig werden dabei nicht nur Systeme, die direkt infiziert sind, sondern auch Proxies, über die die Anfragen geleitet worden sind. Diese sind normalerweise nicht selbst infiziert. Da kein Schadcode geladen wird, werden auch keine Meldungen von Virenscannern und dergleichen erzeugt. Das heisst die Meldung vom DFN-CERT kann leider fälschlicher Weise auf einen Ihrer Proxies verweisen und nicht auf das infizierte System. Leider lässt sich so ein Fehler nicht bei dieser Art der Entdeckung von infizierten Systemen vermeiden.

Nähere Informationen zu Beagle sind bei F-Secure zu finden.