Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Poort 80 attacks  (gelezen 1646 keer)

Offline tux2011

  • Lid
  • Steunpunt: Nee
Poort 80 attacks
« Gepost op: 2011/04/24, 11:05:11 »
Hallo sinds kort wordt mijn http poort 80 aangevallen door 2 ipadressen te weten 184.73.183.28 en 50.17.183.254 ik heb een trace gedaan en deze leiden naar

ec2-compute-1.amazonaws.com

Ik heb een abuse ingediend bij de provider van dit ip adres en ook de andre en zij geven aan dat ze het niet kunnen traceren maar de trace is overduidelijk dat het ip adres uitgegeven is door amazonaws.com of amazon.com is aan elkaar gelinkt.

Het vervelende is zodra ik firefox start dan reageert firestarter gelijk met een hit en blokkeert de verbindingen naar deze specifieke ip adressen dit heb ik zelf zo ingesteld want ik wil normaal kunnen internetten en het is al meerdee keren gebeurd dat zelfs het modem de verbinding heeft uitgeschakeld waar door ik opnieuw kon opstarten.

Ik gebruik de volgende beveiliging op Ubuntu 10.10 32 bits:

Firestarter
Bastille
PSAD
Denyhost
Fail2ban
SSHGuard
Clamav
Rkhunter
Chkrootkit

Hoe kan ik die 2 ip adressen helemaal uitschakelen dat ze helemaal niet meer mijn systeem lastig proberen te vallen over hacking maak ik mij geen zorgen zolang de boel wordt geblokkeerd maar dit probleem doet zich opeens voor het lijkt welof iemand mijn pc probeert te gebruiken voor een botnetwerk of spamnetwerk maar dan gaan ze maar een andere treiteren.

Per dag wordt mijn pc mintens 50 keer aangevallen en tot nu toe heeft dit geen succes is firestarter de ideale firewall of is er een alternatie die standaard dit blokkeert graag even iemand zijn visie over dit probleem klan natuurlijk ook een security probleem van Ubuntu zijn waar voor een patch nodig is. ???
Xubuntu 11.04 AMD64 Bits

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Poort 80 attacks
« Reactie #1 Gepost op: 2011/04/24, 11:45:29 »
Weet je zeker dat het aanvallen zijn van die 2 IP adressen? En dat het niet gewoon een reactie is op Firefox zelf die een pagina wil bezoeken of wil controleren op updates voor plugins?

Is het echt een aanval op jouw poort 80: welke service draait daar achter? Gewoon Apache? Of een andere webserver?
En wat voor websites draai je op je computer?

Verder is Firestarter oud, wordt niet meer bijgehouden en daarom zou ik het niet meer gebruiken. In iedere recente versie van Ubuntu zit standaard al een ander beheerprogramma voor de firewall: UFW. Als je GUFW installeert kan je die gewoon grafisch instellen.

Verder raad ik je af om zomaar wat "beveiligingspakketten" te installeren als je geen idee hebt wat ze doen en ook niet in de handleiding hebt gekeken om te zien hoe ze werken. Dat je modem je verbinding uitschakelt lijkt me namelijk heel sterk, waarschijnlijk is het gewoon een foute instelling die je zelf hebt gemaakt in Firestarter.
Wil je wel je Ubuntu helemaal dichttimmeren (wat standaard helemaal niet nodig is!) dan moet je je eerst even inlezen denk ik. Zo niet dan loop je het risico dat je jezelf buitensluit en dat je zelf helemaal niks meer kan met je systeem.

Offline Felix

  • Lid
    • Ubuntu Apeldoorn
  • Steunpunt: Nee
Re: Poort 80 attacks
« Reactie #2 Gepost op: 2011/04/24, 12:26:43 »
Al die dingen over boord gooien, en gewoon iptables gebruiken, voor de rest .. Het kan ook een broadcast zijn wat aan je poortjes rammelt ;)
The box said "Requires Windows 95 or better." I can't understand why it won't work on my Linux computer...

if (argc > 1 && strcmp(argv[1], "-advice") == 0) { printf("Don't Panic!\n"); exit(42); }[

Ook te volgen via Twitter
Of via Facebook

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Poort 80 attacks
« Reactie #3 Gepost op: 2011/04/24, 13:04:41 »
Lijkt me inderdaad een geval van overbeveiliging, die zichzelf in de staart bijt.... Lees dit eens:
http://sites.google.com/site/computertip/veiligheid

Offline tux2011

  • Lid
  • Steunpunt: Nee
Re: Poort 80 attacks
« Reactie #4 Gepost op: 2011/04/24, 15:46:54 »
Hallo met gemengde gevoelens lees ik de reacties, er draait geen apache of webserver het enige wat ik doe is surfen, mailen en chatten meer niet en niets minder geen torrent of p2p etc., de ipadressen zijn correct en zijn geregistreerd bij amazon.com en dat schijnt een of andere cloud te zijn.

Het zomaar deinstalleren van:

Bastille
PSAD
Denyhost
Fail2ban
SSHGuard
Clamav
Rkhunter
Chkrootkit

wordt niet aangeraden want hoe safe is linux alleen met gufw en snort, hoe check ik dan wat geblokkeerd is en wat juist niet geblokkeerd wordt, gufw geeft geen enkele melding van attacks of geblokkeerde zaken, ik ben er van overtuigd dat ik weet wat ik doe de handleidingen zijn door mij gelezen en ik blijf erbij dat een botnetwerk of spamnetwerk mijn pc probeert over te nemen.

Ik gebruik al meer dan een jaar Ubuntu met dezelfde configuratie en waarom dan opeens die attacks, kijk ik wel best alles eruit gooien en overgaan op gufw maar vind dit allemaal een beetje kort door de bocht.
Xubuntu 11.04 AMD64 Bits

Offline tux2011

  • Lid
  • Steunpunt: Nee
Re: Poort 80 attacks
« Reactie #5 Gepost op: 2011/04/24, 16:10:58 »
Hallo ik heb firestarter nu verwijderd en gufw geïnstalleerd, ik heb alle poortscanners en bastille volledig verwijderd inclusief configuratiebestanden en heb in gufw voor de zekerheid al het verkeer naar de eerder genoemde ip adressen geblokkeerd met een regel en ik hoop dat deze correct is:

rule 1 van 192.168.1.64 poort 80 naar
50.17.183.254 en nog een paar adressen.

Firestarter was van 2005 beetje outdated dus nu maar gufw.
Xubuntu 11.04 AMD64 Bits

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Poort 80 attacks
« Reactie #6 Gepost op: 2011/04/24, 20:59:09 »
Die regel is precies omgedraaid.
Wat het zou moeten zijn: van verschillende adressen poort 80 naar 192.168.1.64 blokkeren.

Maar ik snap nog steeds niet waarom je die adressen wil blokkeren... volgens mij is het toch echt iets van Firefox die op updates controleert voor 1 van je add-ons. Zou je dat blokkeren dan krijgt die add-on geen updates meer.
Als je dat toch niet wil, verwijder de betreffende add-on dan gewoon, dan ben je er ook af.

Verder zijn alle inkomende poorten in Ubuntu standaard al geblokkeerd, tenzij je zelf het initiatief neemt (door een website op te vragen bijv.) of wanneer je zelf de instellingen aanpast. Die extra blokkering die je nu toe wil passen zal dus óf geen effect hebben (want het werd al geblokkeerd), of het zal je normale gebruik in de weg zitten.

Hint: stel die blokkering eens in zoals ik aan het begin van deze post zei. Probeer daarna eens om www.ghostery.com te bezoeken...

Offline Felix

  • Lid
    • Ubuntu Apeldoorn
  • Steunpunt: Nee
Re: Poort 80 attacks
« Reactie #7 Gepost op: 2011/04/24, 22:05:31 »
Hallo met gemengde gevoelens lees ik de reacties, er draait geen apache of webserver het enige wat ik doe is surfen, mailen en chatten meer niet en niets minder geen torrent of p2p etc., de ipadressen zijn correct en zijn geregistreerd bij amazon.com en dat schijnt een of andere cloud te zijn.

Het zomaar deinstalleren van:

Bastille
PSAD
Denyhost
Fail2ban
SSHGuard
Clamav
Rkhunter
Chkrootkit

wordt niet aangeraden want hoe safe is linux alleen met gufw en snort, hoe check ik dan wat geblokkeerd is en wat juist niet geblokkeerd wordt, gufw geeft geen enkele melding van attacks of geblokkeerde zaken, ik ben er van overtuigd dat ik weet wat ik doe de handleidingen zijn door mij gelezen en ik blijf erbij dat een botnetwerk of spamnetwerk mijn pc probeert over te nemen.

Ik gebruik al meer dan een jaar Ubuntu met dezelfde configuratie en waarom dan opeens die attacks, kijk ik wel best alles eruit gooien en overgaan op gufw maar vind dit allemaal een beetje kort door de bocht.

Als je gebruik zou maken (en of je eigen er eens een beetje erin zou verdiepen) van iptables, dan kun je logging aan (of uit zetten), dan wordt alles gelogd wat er op een bepaalde poort, of vanuit een bepaalde source ip adres wel of niet gebeurt, dus het in de gaten houden kan heel goed ;)

En dat er ná een jaar in ene die 'attacks' (naar jouw eigen zeggen) voor komen .. Tsja, kom je wel eens op Amazon.com (ook al is het met een bannertje o.i.d. ? ) :)

Het kort door de bocht vinden van bepaalde opmerkingen, is je goed recht. Echter, installeer hier regelmatig firewalls e.d. op netwerken, waar jij (met alle respect) alleen van kan dromen :)

En netfilter (daar doelen we op met iptables en dat andere progie), is 1 van de beste firewall tools die je op de markt kan krijgen :)

En tsja, je zal je er een beetje erin moeten verdiepen .. Maar als je echt 100% veiligheid wilt, trek dan maar de stekker uit je eth0 ..
The box said "Requires Windows 95 or better." I can't understand why it won't work on my Linux computer...

if (argc > 1 && strcmp(argv[1], "-advice") == 0) { printf("Don't Panic!\n"); exit(42); }[

Ook te volgen via Twitter
Of via Facebook

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Poort 80 attacks
« Reactie #8 Gepost op: 2011/04/24, 22:13:05 »
Volgens http://www.ip-adress.com/reverse_ip/50.17.183.254 wordt dat ene IP gebruikt voor oa. www.ghostery.com en de andere door tweet.telegraaf.nl http://www.ip-adress.com/reverse_ip/184.73.183.28

Nu zou het best kunnen dat die 2 aanvallen uitvoeren op jouw computer, maar ik acht het veel waarschijnlijker dat je Firefox zoekt naar een update voor de add-on Ghostery en dat je ondertussen naar de Telegraaf-website zit te kijken.

Als jij denkt dat die 2 websites kwaadaardig zijn moet je ze vooral blokkeren, maar dan moet je niet gek opkijken als bepaalde zaken het daarna niet meer doen...