Amazon Brute Force

Ich scheine wieder einmal jemandem massiv auf die Füße gestiegen zu sein, inzwischen versuchen die „bösen“ Jungs schon mein Zugangspasswort mit der Hilfe von Amzon EC2 Instanzen zu knacken. Ob das so wirklich erfolgversprechend ist wage ich einmal ernsthaft zu bezweifeln.

OSSEC HIDS Notification.
2015 Feb 24 08:17:46

Received From: (wordpress01.****) *.*.*.*->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

Feb 24 08:17:45 wordpress01 core[23372]: [107.21.240.75 na] https://brechthold.contempt-it.com Info: User authentication failed. User name: brechthold.

 --END OF NOTIFICATION

Kurze Anfrage im Whois zeigt mir folgendes:

whois 107.21.240.75

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=107.21.240.75?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       107.20.0.0 - 107.23.255.255
CIDR:           107.20.0.0/14
NetName:        AMAZON-EC2-8
NetHandle:      NET-107-20-0-0-1
Parent:         NET107 (NET-107-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       
Organization:   Amazon.com, Inc. (AMAZO-4)
RegDate:        2011-05-03
Updated:        2014-09-03
Comment:        The activity you have detected originates from a dynamic hosting environment.
Comment:        For fastest response, please submit abuse reports at http://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSAbuse
Comment:        For more information regarding EC2 see:
Comment:        http://ec2.amazonaws.com/
Comment:        All reports MUST include:
Comment:        * src IP
Comment:        * dest IP (your IP)
Comment:        * dest port
Comment:        * Accurate date/timestamp and timezone of activity
Comment:        * Intensity/frequency (short log extracts)
Comment:        * Your contact details (phone and email) Without these we will be unable to identify the correct owner of the IP address at that point in time.
Ref:            http://whois.arin.net/rest/net/NET-107-20-0-0-1


OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-4
Address:        Amazon Web Services, Elastic Compute Cloud, EC2
Address:        1200 12th Avenue South
City:           Seattle
StateProv:      WA
PostalCode:     98144
Country:        US
RegDate:        2005-09-29
Updated:        2014-10-17
Comment:        For details of this service please see
Comment:        http://ec2.amazonaws.com/
Ref:            http://whois.arin.net/rest/org/AMAZO-4

OrgTechHandle: ANO24-ARIN
OrgTechName:   Amazon EC2 Network Operations
OrgTechPhone:  +1-206-266-4064 
OrgTechEmail:  aes-noc@amazon.com
OrgTechRef:    http://whois.arin.net/rest/poc/ANO24-ARIN

OrgNOCHandle: AANO1-ARIN
OrgNOCName:   Amazon AWS Network Operations
OrgNOCPhone:  +1-206-266-2187 
OrgNOCEmail:  aes-noc@amazon.com
OrgNOCRef:    http://whois.arin.net/rest/poc/AANO1-ARIN

OrgAbuseHandle: AEA8-ARIN
OrgAbuseName:   Amazon EC2 Abuse
OrgAbusePhone:  +1-206-266-4064 
OrgAbuseEmail:  ec2-abuse@amazon.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/AEA8-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#

Ein direkter Aufruf der IP führt mich zu einer elearning Academy of Finance irgendwo in Sri Lanka. Ich gehe jetzt einmal nicht davon aus das dieser Haufen zu den Leuten gehört die sich freiwillig mit mir anlegen, von daher wird es wohl mal wieder Zeit mein IDS mit etwas weniger fairen Maßnahmen zu verstärken. Mal schauen wer mir da diesmal in die Falle geht 😉

Nur damit wir uns hier nicht Falsch verstehen, es ist jetzt nicht wirklich etwas besonderes das sich hier jemand mit dem ausprobieren von Passwörtern versucht. Amazon als Ursprung eines solchen Angriffsversuches ist mir allerdings neu.  Ganz nebenbei bin ich aktuell eh mal wieder auf der Suche nach etwas an dem ich mich abreagieren kann, da kommt mir ein solcher Versuch gerade recht. Wie man einem solchen Angreifer ein wenig auf den Zahn fühlt ohne das dabei Unschuldige(Hoster, Webseitenbetreiber, etc. ) unter die Räder kommen ist mir dann eventuell sogar einen eigenen Artikel wert (also sobald die Nummer durch ist). Als Schlüssel zum Erfolg seien hier einmal Javaskript und Flash erwähnt. Und Nein, normale Besucher bleiben unbehälligt 😉

UPDATE:

Wir reden hier übrigens von knappen 45000 Passwörtern die hier auf 4 Usern ausprobiert wurden. Glücklicherweise wurden die meisten davon von meinem Honeypotskript (ihr dachtet nicht wirklich das der Angreifer nach dem das IDS angeschlagen hat noch eine Chance hatte) protokolliert. Werde das jetzt mal mit ein paar bekannten Passwortlisten abgleichen, eventuell war es ja etwas bekanntes.

Brechthold
Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen