Firestorm sperren?

[Manfred Aabye]

Der Bann, des Firestorm-Releasex64 6.5.3.65658, hab ich wieder herausgenommen.

Also, was ist los?
Ich bin es leid, angegriffen zu werden.
Ich werde alles in meiner macht tun, das Leben solcher Menschen zu erschweren.

iptables ist zum Sperren von IP-Adressen unter Linux.
Warum: Menschen, die anderen Schaden zufügen, direkt blockieren.

fail2ban ist zum Sperren von Benutzern, die in ein Linux System einbrechen wollen.
Warum: Hacker haben Werkzeuge, die vollautomatisch alle möglichen Zeichenkombinationen ausprobieren.

Beides habe ich nun zum Testen in meinem opensimMULTITOOL Skript.

Wichtig ist auch, sichere Passwörter erstellen und schon bei verdacht erneuern/ändern.
Informationen vom Bundesamt für Sicherheit in der Informationstechnik:
Link

Ich empfehle Passwörter mit mindestens 16 Zeichen und ein wechsel spätestens einmal im Jahr.

Wichtig ist auch den Port 22 jedes Servers zu ändern,
möglich sind Ports zwischen 30000 und 65535.
Geändert wird der Port in der Konfigurationsdatei /etc/ssh/sshd_config.
Einfach nach #Port 22 ohne Rautezeichen eine willkürliche Zahl zwischen 30000 und 65535 auswählen.
Beispiel: Port 61473
(Bitte nicht 33333, 31234, 34321 etc.)
Bei Zugriff auf euren Server, müsst ihr dann den neuen Port 61473 mit angeben.
Euer Server bekommt ab jetzt viel weniger anfragen, dies kann man aus den Logdateien ersehen.

[Jupiter Rowland]

Klingt für mich stark nach Priscilla Kleenex. Wenn sie das ist, Manni, bist du bei weitem nicht der einzige Angegriffene. Und dann gibt's auch reichlich Erfahrungen beim Abwehren.

[Dorena Verne]

Und dann gibt's auch reichlich Erfahrungen beim Abwehren.

Eben und diese sind auch recht einfach, keiner darf rezzen außer Gruppe, und darauf achten, dass nicht alle die Objekte bewegen dürfen. Ich glaube, das habe ich schon gefühlte 10000000 Mal geschrieben....

Uns besucht sie ja auch gelegentlich,.. Ana und ich sind da mitunter auch dankbar, wenn wir mal 2-3 Objekte vergessen haben auf nicht bewegen zu stellen, hilft sie uns das schnell zu korrigieren.

[Xenos Yifu]

.... noch hat er die Vermutung ja gar nicht bestätigt.

[Manfred Aabye]

Soweit so gut.
Hier ist ein kleines Linux Bash Skript, welches die Robust, oder OpenSim log Datei,
nach einem ungebetenen Gast absucht und ihn Bannt (Bannen ist hier noch abgeschaltet, sicherheitshalber).

Aufruf Beispiel: ./macme.sh John Doe

macme.sh

PHP-Code:

#!/bin/bash

# Aufruf Beispiel: ./macme.sh John Doe

FIRSTNAME=$1
LASTNAME=$2
DIELOGDATEI="/opt/robust/bin/Robust.log"

# Sperren auf der Netzwerkschicht
# Suchen wir nun den Angreifer, so können wir das Protokoll nach der MAC-Adresse durchsuchen:

echo "Suche nach: $FIRSTNAME"'.'"$LASTNAME" # Kontrollausgabe

ANGREIFERABFRAGE=$(cat $DIELOGDATEI | grep 'Login request' | grep "$FIRSTNAME"'.'"$LASTNAME" | awk -F ',' '{ print $5 }' | sort -u | sed 's/ //') # Den Nippel durch die Lasche ziehen
ANGREIFERERGEBNIS="${ANGREIFERABFRAGE:4}" # Nur die Mac Adresse.

# Abfrage ob Variable Leer ist
if [ -z "$ANGREIFERERGEBNIS" ]
then
    echo "Die Suche nach $FIRSTNAME"'.'"$LASTNAME ergab keine Treffer"
else
    echo "Mac Adresse des Angreifers entdeckt: $ANGREIFERERGEBNIS"
    # Jetzt, können wir ipt_stringmatch verwenden, 
    # um die MAC-Adresse zu erkennen und den Agenten zu verbieten:

    # Der --dport = 9000 oder 8002 oder welchen auch immer.
    #iptables -A INPUT -m string --string "$ANGREIFERERGEBNIS" --algo bm -p tcp --dport 8002 -j DROP

    # Nicht nur das, wir können den Benutzer auch sperren:

    #iptables -A INPUT -m string --string "$FIRSTNAME" --algo bm -m string --string "$LASTNAME" --algo bm -p tcp --dport 8002 -j DROP

    # Das Ergebnis ist, dass der Betrachter keine Verbindung herstellen kann und auf dem Anmeldebildschirm eine Zeitüberschreitung zeigt.
fi 


Quelle: Link

[Manfred Aabye]

Hier ist noch ein kleines Linux Skript, welches die Server Aktivitäten ausgibt.
Es liest die Logdateien für euch und gibt euch eine Zusammenfassung aus.

Der Aufruf

Code:

./logprotokoll.sh

zeigt euch den aktuellen Tag.

Varianten:

Code:

/logprotokoll.sh gestern
/logprotokoll.sh woche

halt dann gestern oder für die Woche.

logprotokoll.sh

PHP-Code:

#!/bin/bash

TAGEEINGABE=$1

if dpkg-query -s logwatch 2>/dev/null | grep -q installed; then
    # Alle Aktionen mit logwatch
    
    # Einen Kurzbericht für den gestrigen Tag ausgeben:
    if [ "$TAGEEINGABE" = "gestern" ]; then logwatch --detail low --range yesterday; fi

    # Einen Kurzbericht für 7 Tage ausgeben:
    if [ "$TAGEEINGABE" = "woche" ]; then logwatch --detail low --range 'between 7 days ago and yesterday'; fi

    # Einen Kurzbericht für den aktuellen Tag ausgeben:
    if [ -z "$TAGEEINGABE" ]; then logwatch --detail low --range today; fi
else
    # Alle Aktionen ohne logwatch

    # Logwatch installieren und
    apt-get -y install logwatch    
    # einen Kurzbericht für den aktuellen Tag ausgeben:
    logwatch --detail low --range today
fi 


[Manfred Aabye]

Mit der opensim-0.9.2.2Dev-367-g8ba1441 Version ist nun Bannen durch ID0 hinzugekommen.

Wir kennen:
;DeniedMacs = "YOURLONGMACSTRING ANOTHERMAC"

neu ist:
;DeniedID0s = "YOURLONGID0STRING ANOTHERID0"

Format: DeniedID0s = "d1fdb346d01a3bda2dcb82322bd88456"

Aufruf Beispiel: ./id0me.sh John Doe

id0me.sh

PHP-Code:

#!/bin/bash

# Aufruf Beispiel: ./id0me.sh John Doe

# Author Manfred Aabye 2023 MIT Lizens

FIRSTNAME=$1; LASTNAME=$2;
DIELOGDATEI="/opt/robust/bin/Robust.log"; #SPERRPORT=8002;

# Sperren auf der Netzwerkschicht
# Suchen wir nun den Angreifer, so können wir das Protokoll nach der ID0-Adresse durchsuchen:

echo "Suche nach: $FIRSTNAME"'.'"$LASTNAME" # Kontrollausgabe

IDANGREIFERABFRAGE=$(cat $DIELOGDATEI | grep 'Login request' | grep "$FIRSTNAME"'.'"$LASTNAME" | awk -F ',' '{ print $6 }' | sort -u | sed 's/ //') # Den Nippel durch die Lasche ziehen
ANGREIFERERGEBNIS="${IDANGREIFERABFRAGE:4}" # Nur die id0 Adresse.

# Abfrage ob Variable Leer ist
if [ -z "$ANGREIFERERGEBNIS" ]
then
    echo "Die Suche nach $FIRSTNAME"'.'"$LASTNAME ergab keine Treffer"
else
    echo "ID0 Adresse des Angreifers entdeckt: $ANGREIFERERGEBNIS"
fi 


[Manfred Aabye]

Richtig Bannen in der Robust.ini

Es ist eine CONTAINS Suche,
also sollte jedes nicht alphanumerische Zeichen als Trennzeichen funktionieren,
ich verwende | weil es einfacher zu sehen ist.

Die Funktion CONTAINS durchsucht unter Verwendung
der von Ihnen in einem Suchargument angegebenen Bedingungen
einen Textsuchindex und gibt einen Wert zurück,
der angibt, ob eine Übereinstimmung gefunden wurde.

Beispiel für Sektion [GatekeeperService] als auch [LoginService]

PHP-Code:

;; Allow banning via hashed MAC and/or ID0 must be set in both [GatekeeperService] and [LoginService] LoginService
;;Benutzer Bannen, via Hashed MAC und/oder ID0, es muss eingestellt werden sowohl im [GatekeeperService] als auch im [LoginService]
DeniedMacs = "44ed33b396b10a5c95d04967aff8bd9c|5574234b1336a4523b6acb803737b608"
DeniedID0s = "d1fdb346d01a3bda2dcb82322bd88456"
;DeniedMacs = "YOURLONGMACSTSING|ANOTHERMAC"
;DeniedID0s = "YOURLONGID0STRING|ANOTHERID0"