Internet-Teergrube: Ein Muss für Alle 

Ja bitte HTTP und SMTP nachlegen denn mein pi langweilt sich

@@Joh8145 vlt solltest mal kalui linux als Distro testen. Ich finde es erweitert ungemein die möglichkeiten. Dann is dir und deinem Pi vlt nicht mehr so oft langweilig.

foll fool style 17% skill zZzzzzzzz 😁😎👍

das stimmt, wird hoffentlich in zukunft darauf angepasst. Aber fürs erste sollte dies reichen, bis halt die angreifer mehrheitlich ihr skript angepasst haben.

@@Duesi2024 Gibt nen älteren DefCon talk darüber, mal nach "defcon21 defense by numbers" suchen.

Danke

Danke für den Hinweis :) Hatte mich im Video schon gefragt, welches Terminal er nutzt, dass strg + c funktioniert. Naja, bis dann wenige Sekunden später...

Unter Linux benutze ich Ctrl+insert zum Kopieren und Shift+insert zum Einfügen.

gut zu wissen

Rechtsklick geht auch meistens. Der nächste Rechtsklick in die Kommandozeile und fertig.

Anzeige ist raus!

hab das video schon gemeldet ^^

@@TheCheffmaster ​ @Sal Kin Hoffe das dass nur ein Scherz war !!!

@@manfredpaulsen6232 ist ein scherz

@@TheCheffmaster xd

Ist ja trotzdem noch aktuell. Ich habe vor 2 Wochen einen Pi ins Internet gehängt mit aktiviertem SSH und als exposed Host an der FritzBox. Passwort habe ich so gelassen, wie in Raspbian vorgegeben. Es hat nur einen Tag gedauert, bis jemand sich seiner bemächtigt hatte. War schön zu sehen mit tcpdump, wohin der Pi plötzlich telefonieren wollte.

​@@marcelstoff Du fügst einfach am Ende des Befehls der den ssh-tapit server zum lauschen bringt ein " > tarpit.log" an. Achte allerdings bitte darauf, dass wenn du sowas in ein Skript packst, es mit entsprechenden Schreibrechten versiehst. LG

@@e1woqf Hab ich auch schonmal gehört: "...ja ich wurde mal gehackt [...] offenes ssh und sclechtes pw..."

@@e1woqf Warum Exposed Host?! Man muss doch bloß Port 22 (außen) auf 2222 (innen) mappen!

@@blackasthesky Ich wollte halt ein wenig experimentieren 😎 Auf dem Pi war natürlich nichts drauf, was irgendwie wichtig gewesen wäre. Aber darum ging es dem Angreifer wohl gar nicht. Der wollte den wohl als Portscanner nutzen und für DDOS-Angriffe.

Ja, aber meist ist es für die deutlich einfacher auf Masse zu gehen und dann so solche Fällen inkauf zu nehmen, die ein wenig ausbremsen. Weil das machen ja kaum welche und ist entsprechend selten. Ähnlich wie bei Emailadressen im Impressum zu schützen, indem man das @ durch {at} oder ähnliches ersetzt. Man kann die Bots theoretisch auch an diese Fälle anpassen, aber macht offenbar niemand. Es gibt einfach genügend Fälle, wo der unangepasste Bot problemlos arbeiten kann.

Ich habe alleine in 4 Stunden fast 50 Fest gehalten ein Inder sogar seit 3:45:00 der es alle 120 Sekunden neu versucht. Der wird sich morgen richtig Ärgern die haben aktuell ~22 Uhr. Es reichen ja schon wenige aus um den Prozess auf Millionen Adressen ewig in die Länge zu ziehen. Kein Bot hat bisher unter 12 Sekunden hier stecken geblieben das sind 12000 Adressen die nicht abgesucht werden konnten

@@WosesTM Das ergibt keinen Sinn. Nur weil ein Angreifer sich bei dir dieses Banner 12 Sekunden runterlädt kann er mit anderen Threads und CPU-Kernen weiterhin andere Server angreifen. Wenn man dann noch so 'moderne' Dinge wie epoll/asyncio/non-blocking io benutzt kann ein einzelner Thread sogar mehrere Ziele gleichzeitig angreifen. Das ist mal wieder ein typischer Fall eines falschen Threat models, nur weil auf der Kommandozeile 'ssh' hängt beim Verbinden mit dem Tarpit, heißt das ja nicht, dass ein gut geschriebener SSH Scanner hängt. Ein SSH Scanner ist immer durch die Bandbreite beschränkt, so ein Tarpit klaut vielleicht wenn überhaupt CPU-Zeit aber die is sowie so nicht der limitierende Faktor.

@@N3name Trotzdem hat der Angreifer auf dem Host wo der Scanner/Bot läuft ein Problem seitens des TCP/IP-Stacks. Wenn der in genügend Teergruben läuft gehen ihm irgendwann die Tupel Dst-Ip/Random Source Port aus und dann ist Ende Gelände, weil dann der TCP/IP Stack nicht mehr in der Lage ist neue Verbindungen aufzubauen. Klar ist das ein enorm hohes Limit (32 Bit IPv4 Adresse + 16 Bit Src Port ergibt halt 'ne ganze Menge mögliche offene Verbindungen), aber es kostet eben doch Ressourcen und das ist i.d.R. nicht die CPU, sondern so Sachen wie RAM. Zudem kann man die Logdaten aus so einem Tarpit wunderbar als Honeypot verwenden um eine Liste von bösartigen Hosts zu pflegen und diese temporär in Firewalls zu werfen (und wenn man die nur loggen und im Dashboard als Botnet-Hosts darstellen lässt mit Verbindungsziel(en)) um diese auf der gesamten Infrastruktur zu blocken. Natürlich sollte man aufpassen, dass man nicht bei jedem Verbindungsversuch sofort einen Block-Eintrag vornimmt (mögliches "SelfDoS" wenn der Angreifer IP-Spoofing betreibt), aber ein Client der da wiederholt die Verbindung länger als 2 Sekunden aufrecht hält und Daten sendet/empfängt wäre ein guter Indikator. Weiterhin täuscht es den Angreifer, der mit so einem Bot-Scanner ja die "breite Masse" und "Low Hanging Fruit" abfarmen will, über die Existenz des SSH Server auf einem alternativen Port. Beliebt ist ja SSH auf Ports zu 2222, 10022 oder 22222 zu konfigurieren, die solche Bots inzwischen auch nach dem Test auf Port 22 direkt abklappern - aber nur wenn auf Port 22 nix antwortet. Kurzum: Tarpits sind zwar kein Allheilmittel, schaden aber auch i.d.R. nicht und bieten ähnlich wie Honeypots viel Potenzial um Informationen zu sammeln über angreifende Hosts, die man dann bspw. auch direkt mal in einer eigenen privaten RBL für die eigene Mailinfrastruktur temporär listen und in Dashboards grafisch darstellen kann, da solche Bots auch gerne Spam verschicken.

@@FSdarkkilla Professioneller Angreifer kennen aber so etwas wie Timeout, also wieder alles für die Katz. Wenn der Aufruf kein schnelles Feedback gibt, wird eben der Thread zu gemacht. Da eine kritische Masse zu erhalten, bis selbst diese kleinen Verzögerung massive Auswirkungen haben, halte ich für utopisch.

Hab ich auch am laufen 😂

@@maddoggLP Eine Visualisierung? Wenn ja, bitte um anleitung! :D

Wäre ne richtig geile Sache

Made my day 😂😂😂

Ne n port gesoffen

Polen hat viele Ports offen

Made my day, too 😂😂😂

8080 :-P

achja und sehe gerade man kann auch einfach "-a 0.0.0.0" setzen um auf alle interfaces zu hören :D

@@rlZeroTwo Alle Interfaces? Was meinst du damit. Der Port wird doch explizit vom router durchgereicht. Oder meinst du alle Netzwerkschnittstellen am Server?

@@danielbachmayer alle Netzschnittstellen, 0.0.0.0 halt xD

Ich denke, dass ein ausreichend starkes Passwort vollkommen in Ordnung ist. Nur so Passwörter wir "admin", "root", "Malle123", o.Ä. zu nehmen ist wirklich dämlich.

@@maitremanta3672 Das stimmt. Aber Schlüsselpaare haben den Vorteil, dass man sie sich nicht merken muss. Das kann aber natürlich auch ein Sicherheitsrisiko sein.

@@maitremanta3672 ein Freund von mir hat sich einen Raspberry Pi geholt und einfach ALLE Ports nach außen geöffnet und sein SSH Passwort war 1234. Du kannst dir nicht vorstellen wie ich mir an den Kopf gefasst habe

@@amp08021 Der Freund schreit ja nahezu nach einem Hackerangriff.

@@maitremanta3672 schönen Dank, jetzt darf ich diese Passwörter ändern! 😡

hilft dennoch dagegen das dein server offen liegt am ende :)

Teergruben sind nun wirklich nichts neues und trotzdem hängen da viele fest. Ist einfach zu verlockend ...

Hast du in den Logs ja schon gesehen. Zu mal man mit der Tarpit seine Adresse als potentiell jucy kennzeichnet, denn niemand hat grundlos eine tarpit

Ja und jedes Mal denke ich mir dabei: "Mit mir nicht!" xD Es sind aber auch immer wieder die üblichen verdächtigen, wenn's dir auf den Keks gehen sollte... einfach IP's sperren und gut ist. ;)

Du musst aber noch einige öffentliche IPs auf deine Geräte zuweisen :/ ansonsten könnte das ganze ein einzelner Pi erledigen. /Klugscheißer modus aus.

warum nicht einfach 2³² Raspberry Pi kaufen und damit den kompletten IP-Adressraum ausnutzen?

Danke, den kannte ich auch noch ned ;)

Genau das hab ich mir auch gedacht. edit: Es startet nicht automatisch, deshalb habe ich den Befehl in eine teer.sh geschrieben, sie ausführbar gemacht und starte diese mit /etc/crontab (@reboot mit einem plep-user). Klappt nun wunderbar :)

Dann bastel dir ein init script... z.b. hier: www.techgrube.de/tutorials/programme-unter-ubuntu-als-dienst-ausfuehren-lassen oder Beispiel: github.com/fhd/init-script-template/blob/master/template

ich habe mir einen tarpit.service angelegt, der von systemd verwaltet wird und z.b. den Dienst automatisch startet nach einem reboot. ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-fYQBvjYQ63U.html

… dieses. Und viele weitere Fragwürdigkeiten.

das hier sollte es können: de.wikipedia.org/wiki/Fail2ban

Und wie siehst du die Logs ? ich finde keine

@@norbertruthers2408 im bash script hinten dran gehangen 2> /pfad/zu/logdatei.log

Klar, wird da nur der Port "ausgehandelt" an den der Server die Antwort senden soll, während der Client weiterhin Port 22 verwendet. Nur sollen die Videos auch für normal sterbliche verständlich gehalten werden. Ich glaube fürs OSI-Modell ist in dieser viertel Stunde kein Platz mehr ;)

@@sparkfuchs Der Port 22 im Fall von SSH ist nur der Listening Port. Der Source Port ist für den Verbindungsaufbau völlig irrelevant.

@@luzidd7414 Einfach nur zu sagen, dass es falsch ist, bringt hier niemanden weiter. Wenn du es besser weißt, dann kläre uns auf. Nachdem allem was ich eben im Wireshark gesehen habe und in der RFC4254 Nachlesen konnte, kann ich absolut nicht nachvollziehen, was du sagen willst. Weil ich konnte nur Folgendes sehen: Client zu Server: "192.168.0.10:44763 -> 192.168.0.2:22" Server zu Client "192.168.0.2:22 -> 192.168.0.10:44763".

@@sparkfuchs Sorry, vielleicht habe ich dich falsch verstanden. Als du geschrieben hast, dass der Client weiterhin den Port 22 verwendet dachte ich du meinst damit der Client benutzt Port 22 als seinen Source Port. Natürlich geht die Anfrage an Port 22 des Servers, insofern benutzt der Client Port 22 als Destination Port.

@@luzidd7414 Achso, na dann hat es sich immerhin aufgeklärt ;) Mir fällt so im Nachhinein auf, dass meine Antwort etwas bissig formuliert war... Tut mir leid, dafür. Ich sollte meinen Stress nicht an unbeteiligten auslassen ^^'

Einfach ein >> logdatei.txt hinter die Startparameter

@ wie genau? (Bin ebenfalls Einsteiger :))

Hi! Hast Du es lösen können? Ich habe es jetzt gerade versucht und stehe vor dem gleichen Problem!!

@@thorstenposer Hi, nein, ich hab die Tarpit-Sache erst mal verworfen. Werd mich irgendwann mal wieder damit beschäftigen.