ICMP-Portscans; Angriffsvorbereitung?

Schorsch_de7743 · 9. November 2019 um 07:08

Servus,

seit Mittwoch früh stelle ich massive ICMP-Scans auf meine Firewall Firmennetz-> Internet fest. Gescannt wird von relativ wenigen IP-Adressen aus zwei Subnetzen in Korea und Japan, die gescannten Ports sind im wesentlichen Port 80, häufig snmp, smtp, ntp; seltener ssh, https, RAdmin. Zunächst bin ich davon ausgegangen, dass es sich um Versuche handele, die kürzlich bekanntgewordene ICMP-Lücke im Linux-Kernel 2.6.15.2 (http://www.heise.de/security/news/meldung/69269) auszunutzen.

Dann aber müsste ich bei meinem Rechner zuhause, der im gleichen Subnetz hängt, die gleichen Scans feststellen. Dort aber habe ich keinen einzigen entprechenden Eintrag im Log. Auch das Internet Storm Center und andere einschlägige Adressen vermelden keine erhöhten ICMP-Tätigkeiten.

Ich gehe daher mittlerweile davon aus, dass es sich bei diesen Scans um gezielte Vorbereitungen für einen Angriff handelt - habe aber keine Ahnung, welcher Natur dieser Angriff sein könnte. Leider habe ich auch keine Möglichkeit, kurzfristig ein IDS aufzubauen, das mir einen auf dieses Muster passenden exploit nennen könnte. Auch meine Recherchen haben bislang nichts ergeben.

Daher meine Frage, ob jemand dieses Muster kennt und mir auf die Sprünge helfen kann, worauf ich mich in den nächsten Tagen gefasst machen muss. Oder ob vielleicht jemand anderes in den letzten Tagen ähnliches gesehen hat und ich es also nur mit einem neuen Mißton im Grundrauschen des Internets zu tun habe und hier völlig umsonst in Paranoia verfalle.

Gruss
Schorsch

TG9nb3V0QWRQcm94eS5zZXJ2a · 9. November 2019 um 07:08

Hi,

hattest Du in letzter Zeit Zoff mit jemandem? Vielleicht gar einem, der in diesem
Brett gepostet hat?

Das fällt mir jetzt spontan dazu ein, technisch kann ich als Apple-Mann leider
nix dazu sagen.

Grüße vom T.

Schorsch_de7743 · 9. November 2019 um 07:08

hattest Du in letzter Zeit Zoff mit jemandem? Vielleicht gar
einem, der in diesem
Brett gepostet hat?

Dann sollte man zunächst annehmen, dass die Angriffe sich auf meinen privaten Rechner, dessen IP-Adresse sich aus meiner Mailadresse ermitteln liesse, richten. Und wenn du dich auf bestimmte Postings beziehst, die komischerweise im Brett wie auch im Archiv nicht mehr zu finden sind, sollte man die Angiffe eher aus Thailand oder China erwarten. Wobei hier aus Mailkommunikation in der Tat genügend Informationen verfügbar wären, auf die Firmenadresse rückzuschliessen.

Gruss
Schorsch

Sebastian · 9. November 2019 um 07:08

Hallo,

Leider habe ich auch keine Möglichkeit, kurzfristig

ein IDS aufzubauen, das mir einen auf dieses Muster passenden
exploit nennen könnte. Auch meine Recherchen haben bislang
nichts ergeben.

Daher meine Frage, ob jemand dieses Muster kennt

Ich kenne es nicht, veilleicht kann man aber etwas Spaß haben.

[18:54:30][niehaus@crystalline:~]$ apt-cache search honeypot
honeyd-common - Honeyd's honeypot documentation and scripts
iisemulator - Emulation for the IIS web server
labrea - a "sticky" honeypot and IDS
tinyhoneypot - Small honeypot to trap attackers
[18:54:34][niehaus@crystalline:~]$

Numer zwei finde ich heiter.

Sonst keine Hilfe, sorry.

Gruß,

Sebastian

Schorsch_de7743 · 9. November 2019 um 07:08

Ich kenne es nicht, veilleicht kann man aber etwas Spaß haben.

[18:54:30][niehaus@crystalline:~]$ apt-cache search honeypot
honeyd-common - Honeyd’s honeypot documentation and scripts
iisemulator - Emulation for the IIS web server
labrea - a „sticky“ honeypot and IDS
tinyhoneypot - Small honeypot to trap attackers
[18:54:34][niehaus@crystalline:~]$

Numer zwei finde ich heiter.

Vielen Dank, das schaue ich mir morgen mal an. Ich habe mir vorhin noch mal die Protokolle angeschaut - seit ein paar Stunden ist der Spuk genauso abrupt vorbei, wie er begonnen hat. Das muss natürlich kein gutes Zeichen sein, bisher aber bemerke ich in den Protokollen oder im Verhalten der Server keine Auffälligkeiten.

Gruss
Schorsch

Der_Frank_176821 · 9. November 2019 um 07:10

Servus,

Hi,

seit Mittwoch früh stelle ich massive ICMP-Scans auf meine
Firewall Firmennetz-> Internet fest. Gescannt wird von
relativ wenigen IP-Adressen aus zwei Subnetzen in Korea und
Japan, die gescannten Ports sind im wesentlichen Port 80,
häufig snmp, smtp, ntp; seltener ssh, https, RAdmin.

Was ist denn eigentlich ein ICMP-Portscan?

Gruss vom Frank.

Schorsch_de7743 · 9. November 2019 um 07:11

seit Mittwoch früh stelle ich massive ICMP-Scans auf meine
Firewall Firmennetz-> Internet fest. Gescannt wird von
relativ wenigen IP-Adressen aus zwei Subnetzen in Korea und
Japan, die gescannten Ports sind im wesentlichen Port 80,
häufig snmp, smtp, ntp; seltener ssh, https, RAdmin.

Was ist denn eigentlich ein ICMP-Portscan?

Es werden über ICMP-Protokoll jeweils 3 Pakete, Type 8 Code 0 Length 64, an einen der oben genannten Well Known Ports abgesetzt. Welchen Inhalt diese Pakete haben, weiss ich nicht, da diese an der Firewall gedropt wurden. Ich hatte auch leider keine Chance, das Droping aufzuheben und die Pakete mitzuschneiden, da ziemlich genau seit dem Zeitpunkt, als mir diese Pakete aufgefallen sind, nicht ein einziges derartiges Paket mehr eingegangen ist.

Bezügl. der Herkunft der Anfragen lag ich übrigens im Irrtum, wo ich da Korea herausgelesen habe, weiss ich nicht. Tatsächlich sind es 7 Subnetze aus JP, US und GB mit jeweils rund 15 oder 30 Paketen je IP Adresse. Zusätzlich ein paar wenige andere Anfragen aus anderen Netzen mit anderen Merkmalen (abweichende Paketlänge).

Im Moment habe ich nur einen bearbeiteten und kommentierten Auszug aus den Logs vorliegen, bei Interesse gebe ich aber gerne das originale bzw. das bezügl. ICMP gefilterte Log weiter.

Gruss
Schorsch

Der_Frank_176821 · 9. November 2019 um 07:11

seit Mittwoch früh stelle ich massive ICMP-Scans auf meine
Firewall Firmennetz-> Internet fest. [Ports 80, snmp, smtp,
ntp; seltener ssh, https, RAdmin]

Was ist denn eigentlich ein ICMP-Portscan?

Es werden über ICMP-Protokoll jeweils 3 Pakete, Type 8 Code 0
Length 64, an einen der oben genannten Well Known Ports
abgesetzt.

Komisch, ich wusste gar nicht, dass ICMP neuerdings ein Protokoll mit Ports ist… Was genau loggt denn da Dein Paketfilter, kannst Du das mal bitte zitieren?

Ich hatte auch leider keine Chance, das Droping aufzuheben
und die Pakete mitzuschneiden,

Je nachdem, was Du als Filter einsetzt, musst Du dazu auch nicht den Filter anfassen: libpcap setzt z.B. direkt auf den Netzwerktreiber auf, noch bevor netfilter ins Spiel kommt.

bei Interesse gebe ich aber gerne das originale bzw. das
bezügl. ICMP gefilterte Log weiter.

Naja, ich lese gerade einen Roman von Kazuo Ishiguro, wenn ich damit fertig bin (und mir langweilig wird), gerne. Bis dahin vielleicht ein exemplarischer Auszug…

Gruss vom Frank.

Schorsch_de7743 · 9. November 2019 um 07:11

Harmlose Pings. Wie peinlich!

Komisch, ich wusste gar nicht, dass ICMP neuerdings ein
Protokoll mit Ports ist…

Ein sehr sehr guter Einwand (s. u.)!

Was genau loggt denn da Dein
Paketfilter, kannst Du das mal bitte zitieren?

Wie bereits gesagt, habe ich im Moment nur einen bearbeiteten Auszug der Logs direkt verfügbar, aber dennoch die Möglichkeit, auf die Originale zuzugreifen. Und als ich aus denen jetzt einen exemplarischen Auszug herausziehen wollte, ist mir prompt etwas aufgefallen: Dass da nämlich tatsächlich nichts von Source- und Destination Ports drinsteht.

Üblicherweise lese ich die Logs in einem Webinterface. Und das hat offenbar die Angewohnheit, bei der Aufbereitung der Daten anzunehmen, dass bestimmte Variablen belegt sein müssen. Wenn die Felder SPT und DPT leer sind, werden einfach die entspr. Werte des zuletzt vorher gelesenen Satzes hineingefüllt. Nehme ich diese Informationen wieder heraus, bleibt nichts weiter als ein harmloser Ping!

Bliebe allenfalls noch zu fragen, warum in den letzten 10 Tagen 5 Tage lang keine Pings ankamen, dann etwa 2,5 Tage relativ viele, dann wieder keine mehr. Und vielleicht, warum mir diese Macke des Webinterfaces nicht früher schon aufgefallen ist…

Danke für deine Rückfragen; ohne die würde ich wohl noch drei Tage lang vor dem Browser hocken wie der Affe auf dem Pferd! Manchmal vielleicht doch besser, sich in aller Ruhe ein paar Gedanken zu machen; vielleicht die eine oder andere Info noch mal nachzulesen, statt in Hektivismus auszubrechen.

Gruss
Schorsch

Peter_TOO · 9. November 2019 um 07:13

Hallo Schorsch,

Üblicherweise lese ich die Logs in einem Webinterface. Und das
hat offenbar die Angewohnheit, bei der Aufbereitung der Daten
anzunehmen, dass bestimmte Variablen belegt sein müssen. Wenn
die Felder SPT und DPT leer sind, werden einfach die entspr.
Werte des zuletzt vorher gelesenen Satzes hineingefüllt. Nehme
ich diese Informationen wieder heraus, bleibt nichts weiter
als ein harmloser Ping!

Also ich nenne so etwas Bug !!

Bliebe allenfalls noch zu fragen, warum in den letzten 10
Tagen 5 Tage lang keine Pings ankamen, dann etwa 2,5 Tage
relativ viele, dann wieder keine mehr. Und vielleicht, warum
mir diese Macke des Webinterfaces nicht früher schon
aufgefallen ist…

Naja, ich habe bei sporadischen Problemen auch schon irgendeinen Host Gepingt, bzw. dauerGetTracert um zu sehen, wann die Verbindung zusammenbricht …

MfG Peter(TOO)