Amazon Brute Force

Ich scheine wieder einmal jemandem massiv auf die Füße gestiegen zu sein, inzwischen versuchen die “bösen” Jungs schon mein Zugangspasswort mit der Hilfe von Amzon EC2 Instanzen zu knacken. Ob das so wirklich erfolgversprechend ist wage ich einmal ernsthaft zu bezweifeln.

OSSEC HIDS Notification.
2015 Feb 24 08:17:46
Received From: (wordpress01.****) *.*.*.*->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Feb 24 08:17:45 wordpress01 core[23372]: [107.21.240.75 na] http://brechthold.contempt-it.com Info: User authentication failed. User name: brechthold.
 --END OF NOTIFICATION

Kurze Anfrage im Whois zeigt mir folgendes:

whois 107.21.240.75
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=107.21.240.75?showDetails=true&showARIN=false&ext=netref2
#
NetRange:       107.20.0.0 - 107.23.255.255
CIDR:           107.20.0.0/14
NetName:        AMAZON-EC2-8
NetHandle:      NET-107-20-0-0-1
Parent:         NET107 (NET-107-0-0-0-0)
NetType:        Direct Allocation
OriginAS:
Organization:   Amazon.com, Inc. (AMAZO-4)
RegDate:        2011-05-03
Updated:        2014-09-03
Comment:        The activity you have detected originates from a dynamic hosting environment.
Comment:        For fastest response, please submit abuse reports at http://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSAbuse
Comment:        For more information regarding EC2 see:
Comment:        http://ec2.amazonaws.com/
Comment:        All reports MUST include:
Comment:        * src IP
Comment:        * dest IP (your IP)
Comment:        * dest port
Comment:        * Accurate date/timestamp and timezone of activity
Comment:        * Intensity/frequency (short log extracts)
Comment:        * Your contact details (phone and email) Without these we will be unable to identify the correct owner of the IP address at that point in time.
Ref:            http://whois.arin.net/rest/net/NET-107-20-0-0-1
OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-4
Address:        Amazon Web Services, Elastic Compute Cloud, EC2
Address:        1200 12th Avenue South
City:           Seattle
StateProv:      WA
PostalCode:     98144
Country:        US
RegDate:        2005-09-29
Updated:        2014-10-17
Comment:        For details of this service please see
Comment:        http://ec2.amazonaws.com/
Ref:            http://whois.arin.net/rest/org/AMAZO-4
OrgTechHandle: ANO24-ARIN
OrgTechName:   Amazon EC2 Network Operations
OrgTechPhone:  +1-206-266-4064
OrgTechEmail:  aes-noc@amazon.com
OrgTechRef:    http://whois.arin.net/rest/poc/ANO24-ARIN
OrgNOCHandle: AANO1-ARIN
OrgNOCName:   Amazon AWS Network Operations
OrgNOCPhone:  +1-206-266-2187
OrgNOCEmail:  aes-noc@amazon.com
OrgNOCRef:    http://whois.arin.net/rest/poc/AANO1-ARIN
OrgAbuseHandle: AEA8-ARIN
OrgAbuseName:   Amazon EC2 Abuse
OrgAbusePhone:  +1-206-266-4064
OrgAbuseEmail:  ec2-abuse@amazon.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/AEA8-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#

Ein direkter Aufruf der IP führt mich zu einer elearning Academy of Finance irgendwo in Sri Lanka. Ich gehe jetzt einmal nicht davon aus das dieser Haufen zu den Leuten gehört die sich freiwillig mit mir anlegen, von daher wird es wohl mal wieder Zeit mein IDS mit etwas weniger fairen Maßnahmen zu verstärken. Mal schauen wer mir da diesmal in die Falle geht 😉

Nur damit wir uns hier nicht Falsch verstehen, es ist jetzt nicht wirklich etwas besonderes das sich hier jemand mit dem ausprobieren von Passwörtern versucht. Amazon als Ursprung eines solchen Angriffsversuches ist mir allerdings neu.  Ganz nebenbei bin ich aktuell eh mal wieder auf der Suche nach etwas an dem ich mich abreagieren kann, da kommt mir ein solcher Versuch gerade recht. Wie man einem solchen Angreifer ein wenig auf den Zahn fühlt ohne das dabei Unschuldige(Hoster, Webseitenbetreiber, etc. ) unter die Räder kommen ist mir dann eventuell sogar einen eigenen Artikel wert (also sobald die Nummer durch ist) als Schlüssel zum Erfolg seien hier einmal Javaskript und Flash erwähnt. Und Nein, normale Besucher bleiben unbehälligt 😉

 

UPDATE:

Wir reden hier übrigens von knappen 45000 Passwörtern die hier auf 4 Usern ausprobiert wurden. Glücklicherweise wurden die meisten davon von meinem Honeypotskript (ihr dachtet nicht wirklich das der Angreifer nach dem das IDS angeschlagen hat noch eine Chance hatte) protokolliert. Werde das jetzt mal mit ein paar bekannten Passwortlisten abgleichen, eventuell war es ja etwas bekanntes.

 

Tagged , , , . Bookmark the permalink.

About Brechthold

Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

2 Responses to Amazon Brute Force

  1. Flash says:

    Flash die Waffe 😉

    Wohl eher nicht…

    • Brechthold says:

      Warum denn nicht? Wenn es darum geht sich mit einem geskripteten Browser anzulegen kann man auch mal zu so etwas greifen. Ich gebe zu, die Erfolgsaussicht ist recht niedrig aber versuchen kann man es ja mal 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.