ARCHIVED ARTICLE FROM OLD BLOG – DATED 23.04.2011
Abuse-Mails, ein Relikt aus alten Zeiten, haben auch im Jahre 2010 noch eine große Rolle in der Welt des “großen internationalen Datennetzes”.
Seit einiger Zeit bin auch ich mit für eine solche Abuse-Mailbox verantwortlich.
Diese hat wochentags ein Mailvolumen von ~ 50 Mails pro Tag, manchmal auch über 100, das ist variierend.
Die Art von Reports ist vielfältig, genau wie die Inhalte der Abuse-Mails.
Hier die Rangliste der Arten von heutzutage üblichen Abuse-Reports:
- Automatisierte und handgeschriebene Reports von Honeypots oder von NOC/SOC-Teams bezgl. Portscans
- Automatisierte und handgeschriebene Reports bezgl. SSH-Bruteforce-Attacken
- Automatisierte Reports bezgl. Spam-Mail-Versand, selten auch handgeschriebe Reports bezgl. Spam
- handgeschriebene Reports bezgl. Network Intrusion Attacken (meist sehr umfangreich)
- vereinzelte Reports bezgl. anderen fragwürdigen Aktivitäten, die von den verwalteten IP’s aus getätigt wurden
Man sieht also schon: In den Abuse-Mailboxen der Welt ist viel los.
Aber warum?
Ich denke die folgende Aussage (schon etwas älter, aber immer noch zutreffend) erklärt es am besten:
There is a lot of background noise on the internet.
Vereinfacht also: Im Internet selbst ist viel los.
Honeypots und Server-Administratoren der ganzen Welt bekommen vieles an Bösartigkeiten,Unnötigkeiten mit, was einem “Normal-User” normalerweise verborgen bleibt.
Portscans, Spam-Versand, Bruteforce, gezielte Netzwerk-Attacken, DoS-Attacken … es ist längst keine Neuigkeit mehr, dass das Internet auch ein breites Spektrum an Gefahren geschaffen hat.
Ich finde es natürlich schade, dass diese Dinge nicht dort unterbunden werden, wo sie in Wirklichkeit unterbunden werden sollten/müssten/könnten.
Bei “urtümlichen” Systemen wie DNS,Mail,etc. wird immer klarer, dass diese Systeme/Protokolle im Kern nicht mit der Zeit gegangen sind.
Dass beispielsweise die Erfinder des Mails-Protokolls damals noch nicht ahnen konnten, dass Ihr Protokoll irgendwann zu > 90% zu Werbe-,Phishing und Virenversand verwendet werden wird, ist auch klar, der Weg solche Sachen/Protokolle im Kern lieber unverändert zu lassen, ist bereits eingeschlagen.
Deshalb wird es wahrscheinlich noch länger so weitergehen, dass sich ISP’s/Hoster/etc. zum Teil um Sachen kümmern müssen, die eigentlich an anderer Stelle gelöst werden könnten/müssten.
Was aber natürlich nichts an der Tatsache ändert, dass es nicht uninteressant ist, Hintergründe vieler alltäglicher Internet-Attacken mitzubekommen, etwa durch Abuse-Mails oder durch Logs, die man als Admin ja regelmäßig durchsehen muss.
Logs von Servern mit einer zugewiesenen WAN-IP enthalten meißt eine Maße von unterschiedlichsten Verbindungsversuchen.
Und obwohl ich bisher noch nie persönlich einen Server gesehen hätte, der dadurch erfolgreich gehackt worden wäre: Netbios-, SSH- und FTP-Scans zielen hauptsächlich auf die Masse.
Oft kommen diese Scans in Minuten-Intervallen rein und wenn man sich vorstellt, dass diese Sans in weltweiten Ausmaße durchgeführt werden, kann man sich vorstellen, dass es natürlich gesehen auf die Masse viele Maschinen gibt, die dadurch übernommen werden können.
(c) Krat
Leave a Reply