Was ist neu?
Digital Marketing & Webmaster Forum

Digital Marketing, Internet-Technologien, Metaverse und mehr interessieren Dich? Registriere Dich gleich kostenlos, um Mitglied zu werden! Sobald Du angemeldet bist, kannst Du loslegen, Themen und Beiträge veröffentlichen und mit anderen Mitgliedern in Kontakt treten! Wir wünschen Dir einen anregenden Austausch!

Domains / Accounts auf Server aufspüren

Ruby

- Premium Member -
Hallo Forum,

meine Server Firewall gab mir soeben eine Nachricht durch die aufzeigt dass sich jemand versucht hat auf meinem Server einzuloggen bzw. in ein Emailkonto. Der Log sieht so aus:

May 8 05:11:46 host pop3d: LOGIN FAILED, user=domain1.com, ip=[::ffff:77.111.89.10]
May 8 05:11:46 host pop3d: LOGIN FAILED, user=domain2.com, ip=[::ffff:77.111.89.10]
May 8 05:11:47 host pop3d: LOGIN FAILED, user=domain3.com, ip=[::ffff:77.111.89.10]
May 8 05:11:51 host pop3d: LOGIN FAILED, user=domain4.com, ip=[::ffff:77.111.89.10]
May 8 05:11:51 host pop3d: LOGIN FAILED, user=domain4.com, ip=[::ffff:77.111.89.10]
May 8 05:11:52 host pop3d: LOGIN FAILED, user=domain5.com, ip=[::ffff:77.111.89.10]
May 8 05:11:52 host pop3d: LOGIN FAILED, user=domain6.com, ip=[::ffff:77.111.89.10]

Zu erkennen ist dabei dass der Typ wohl alle Domains kannte die auf meinem Server liegen. Die Zeitangaben deuten darauf hin dass die Anmeldeversuche automatisiert abgelaufen sind.
Meine Frage diesbezüglich ist jetzt: Woher kann man die Liste meiner Accounts oder Domains auf dem Server ersehen? Ich benutze Cpanel mit CentOS.
 

Captain

- Premium Member -
Hast du deine Server aktuell ? Immer auf dem neuesten Stand ? Denn meist ist sowas ein Problem

C.
 

Ruby

- Premium Member -
Die Server Software aktualisiert sich automatisch bei jedem neuen stabilen Update von selbst, daran sollte es also normal nicht liegen. Ich vermute irgendwo einen Schwachpunkt. Welche Möglichkeiten kann der Angreifer denn gehabt haben um an die Liste meiner dortigen Domains zu kommen?
 

Methusalem

- Premium Member -
Es gibt Programme, mit denen du die IP oder den Server abfragen kannst und bekommst alle Domains angezeigt.
 

mesh

- Premium Member -
Es gibt Programme, mit denen du die IP oder den Server abfragen kannst und bekommst alle Domains angezeigt.
Das ist falsch.
War vor Jahren mal möglich, unter den heutigen Konfigurationen geht das nicht mehr.
Wenn es solche Listen gibt, dann hat derjenige fleissig gesammelt.
 

mesh

- Premium Member -
Das ist nicht das, was der TE meinte.
Und das linkvendor-Ding ist lächerlich...
 

blackmexx

- Premium Member -
Das ist nicht das, was der TE meinte.
Und das linkvendor-Ding ist lächerlich...

Das sind ja auch nur Beispiele und ob das Linkvendor-Ding lächerlich weiß ich nicht wurde bei Google zum Thema "Domain zur IP" mit ausgegeben. Und was mein der TE dann? Er wollte wissen, wie man Domains von einem Server (IP) rausbekommt.

Und das mit Konfiguration ist auch Käse was soll heute anders sein? Bei Domaintools gebe ich die Domain ein und bekomme die IP zum Server. Domains abgrasen nun ja Google ist wahrscheinlich auch Käse. So läst sich mit einem vernünftigen Tool sehr schnell eine Datenbank erstellen. Und wenn man nicht die IP zur Domain bzw. andersrum rausbekommen kann nach deiner Aussage frag ich mich wie Google die IP-POP berechnet.

Diese Logs habe ich auch bei mir ist nix Ungewöhnliches das Zauberwort heißt Fail2ban.
 

mesh

- Premium Member -
Das sind ja auch nur Beispiele und ob das Linkvendor-Ding lächerlich weiß ich nicht wurde bei Google zum Thema "Domain zur IP" mit ausgegeben.
Es ist Schrott. Ich habe bei 3 beliebigen IPs 0 Ergebnisse bekommen, bei denen z.B. ich dreistellige Domainzahlen in meinen Tabellen habe.
Und was mein der TE dann? Er wollte wissen, wie man Domains von einem Server (IP) rausbekommt.
Das ist der casus knacktus.
Und das mit Konfiguration ist auch Käse was soll heute anders sein?
Heute ist anders daß man keine Nameserver-Abfrage in bezug auf die vorhandenen Domains mehr machen kann weil per default diese externe Abfrage verweigert wird.
Bei Domaintools gebe ich die Domain ein und bekomme die IP zum Server.
Das hat mit dem Topic nix zu tun, das ist eine einfache query. Ausserdem bekommst Du mit dieser Abfrage die IP der Domain die aber nicht zwangsläufig die IP des Servers sein muß.
nun ja Google ist wahrscheinlich auch Käse. .
Isoliert gesehen stimme ich Dir zu.
Und wenn man nicht die IP zur Domain bzw. andersrum rausbekommen kann nach deiner Aussage frag ich mich wie Google die IP-POP berechnet.
Zwei verschiedene Paar Schuhe: ich habe ausserdem nicht behauptet, man könne nicht die IP zur Domain herausbekommen; die entsprechenden Routinen sind in Programmiersprachen standardmässig vorgesehen z.B. als gethostbyaddr bzw. gethostbyname.
Beim Spidern werden die Domainnamen aufgelöst und ergeben logischerweise das Datenpaar Domain/IP, die IP ist also quasi ein Abfallprodukt und somit auch die IP-POP. Damit hast Du auch gleich die Antwort auf die Quelle der Daten der verschiedenen Tools: es sind schlichtweg Ergebnisse von Spider-Vorgängen.
 

blackmexx

- Premium Member -
Ich roll das mal von hinten auf ;) das Letzte wahr wohl doch etwas unreflektiert geschrieben.

Zu dem Rest ich hab ja auch nie geschrieben, dass die Tools alle Domains zur IP liefern. Aber auf diese weiße kann man eben eine beachtliche Datenbank aufbauen.

Hier mal ein Beispiel mit einer Kunden-Domain (die Domain nenne ich hier nicht)

Die IP (85.13.134.17) der Domain liegt auf einen Webspace bei all-inkl.

Mit der Abfrage -> http://whois.domaintools.com/85.13.134.17

Werden mir 149 Domains zur IP angezeigt ob dies alle sind keine Ahnung hab ich auch nie behauptet. So hat der Böse Bube 149 theoretische abfrage möglichkeiten für denn Mail Zugang.

Bei IP address 85.13.134.17 werden nur 40 angezeigt.
Bei Reverse IP Lookup - Find Other Web Sites Hosted on a Web Server sind es 105 Ergebnisse.

Da kommt halt was zusammen.
 

Ruby

- Premium Member -
Das Problem ist bei mir eben dass keine der Domains eine IP teilt sondern jede Domain ihre eigene IP zugewiesen bekommen hat. Darum ist mir das ein Rätsel wie jemand beine Domains abrufen kann oder besser gesagt sie als Loginnamen benutzt hat.
 

blackmexx

- Premium Member -
Schau doch einfach mal bei den "Tools" oben nach ob deine Seiten dort irgendwo gelistet sind. Von diesen Whois Seiten schwirren doch etliche im Netz rum und auf irgend einer Liste stehen deine mit drauf. bei meinen Seiten dauert das im Schnitt ein halbes Jahr dann fangen die Angriffe auf neue Domains an.

Zur abwehr wie oben schon erwähnt Fail2ban denn ban auf 1 Stunde und es lässt nach aufhören wird dies nie.
 

Fuyonet.com

- Premium Member -
auch ueber Bing die MS Suchmaschine kann man mit IP:xx.xx.xx.xx erfahren, welche Domsins auf der IP laufen.

was in deinem Log steht ist nicht ungewoehnlich. das kommt von (meist gehackten) servern, die eine dictionary attack machen. haben ich auf allen Servern rund um die Uhr.

Fail2Ban ist dein Freund. in Plesk ist das als Modul integriert.

die Angreifer-IP wird nach X Fehlversuchen fuer die Zeit Y gesperrt.

Wenn Deine Passwörter ausreichend sicher sind, dann laß' sie spielen.​

das ist richtig. Auf einem Server, mit Kunden Accounts, die ihre Passwoerter selber aendern koennen, ist das aber schwer. man kann (sollte) password policies haben, aber auch die sind kein Garant fuer starke Passwoerter.
 

mesh

- Premium Member -
Die aller, aller, allermeisten Brofies versuchen es mit den altbekannten Tabellen.
Selbst die, die Geld anlegen um möglichst viele Hosting-/Zugangsprovider in's Rennen werfen.
Bei mir hat einer heute innerhalb 10 Minuten 190 IP-Blöcke verbraten.
Eigentlich pfiffig: jede IP nutzt er für nur einen einzigen Versuch, dann kommt nach 2 Sekunden die nächste IP, rund um den Erdball.
Blöd halt nur, daß die jeweilige IP beim ersten Fehlversuch schon verbrannt ist bei mir.
 
Oben