Domains / Accounts auf Server aufspüren

Dieses Thema im Forum 'Server Security & technische Diskussionen' wurde von Ruby gestartet, 8 Mai 2013.

  1. Ruby - Premium Member -

    Mitglied seit:
    10 Juli 2009
    Erstellte Beiträge:
    184
    Zustimmungen:
    3
    Hallo Forum,

    meine Server Firewall gab mir soeben eine Nachricht durch die aufzeigt dass sich jemand versucht hat auf meinem Server einzuloggen bzw. in ein Emailkonto. Der Log sieht so aus:

    May 8 05:11:46 host pop3d: LOGIN FAILED, user=domain1.com, ip=[::ffff:77.111.89.10]
    May 8 05:11:46 host pop3d: LOGIN FAILED, user=domain2.com, ip=[::ffff:77.111.89.10]
    May 8 05:11:47 host pop3d: LOGIN FAILED, user=domain3.com, ip=[::ffff:77.111.89.10]
    May 8 05:11:51 host pop3d: LOGIN FAILED, user=domain4.com, ip=[::ffff:77.111.89.10]
    May 8 05:11:51 host pop3d: LOGIN FAILED, user=domain4.com, ip=[::ffff:77.111.89.10]
    May 8 05:11:52 host pop3d: LOGIN FAILED, user=domain5.com, ip=[::ffff:77.111.89.10]
    May 8 05:11:52 host pop3d: LOGIN FAILED, user=domain6.com, ip=[::ffff:77.111.89.10]

    Zu erkennen ist dabei dass der Typ wohl alle Domains kannte die auf meinem Server liegen. Die Zeitangaben deuten darauf hin dass die Anmeldeversuche automatisiert abgelaufen sind.
    Meine Frage diesbezüglich ist jetzt: Woher kann man die Liste meiner Accounts oder Domains auf dem Server ersehen? Ich benutze Cpanel mit CentOS.
  2. Captain - Premium Member -

    Mitglied seit:
    22 Juli 2009
    Erstellte Beiträge:
    1.341
    Zustimmungen:
    157
    Hast du deine Server aktuell ? Immer auf dem neuesten Stand ? Denn meist ist sowas ein Problem

    C.
  3. Ruby - Premium Member -

    Mitglied seit:
    10 Juli 2009
    Erstellte Beiträge:
    184
    Zustimmungen:
    3
    Die Server Software aktualisiert sich automatisch bei jedem neuen stabilen Update von selbst, daran sollte es also normal nicht liegen. Ich vermute irgendwo einen Schwachpunkt. Welche Möglichkeiten kann der Angreifer denn gehabt haben um an die Liste meiner dortigen Domains zu kommen?
  4. Methusalem - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    888
    Zustimmungen:
    48
    Es gibt Programme, mit denen du die IP oder den Server abfragen kannst und bekommst alle Domains angezeigt.
  5. Globi - Premium Member -

    Mitglied seit:
    13 Juli 2009
    Erstellte Beiträge:
    3.648
    Zustimmungen:
    718
  6. mesh - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    2.627
    Zustimmungen:
    230
    Das ist falsch.
    War vor Jahren mal möglich, unter den heutigen Konfigurationen geht das nicht mehr.
    Wenn es solche Listen gibt, dann hat derjenige fleissig gesammelt.
  7. blackmexx - Premium Member -

    Mitglied seit:
    12 Juli 2010
    Erstellte Beiträge:
    263
    Zustimmungen:
    10
    Kai gefällt dies.
  8. mesh - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    2.627
    Zustimmungen:
    230
    Das ist nicht das, was der TE meinte.
    Und das linkvendor-Ding ist lächerlich...
  9. blackmexx - Premium Member -

    Mitglied seit:
    12 Juli 2010
    Erstellte Beiträge:
    263
    Zustimmungen:
    10
    Das sind ja auch nur Beispiele und ob das Linkvendor-Ding lächerlich weiß ich nicht wurde bei Google zum Thema "Domain zur IP" mit ausgegeben. Und was mein der TE dann? Er wollte wissen, wie man Domains von einem Server (IP) rausbekommt.

    Und das mit Konfiguration ist auch Käse was soll heute anders sein? Bei Domaintools gebe ich die Domain ein und bekomme die IP zum Server. Domains abgrasen nun ja Google ist wahrscheinlich auch Käse. So läst sich mit einem vernünftigen Tool sehr schnell eine Datenbank erstellen. Und wenn man nicht die IP zur Domain bzw. andersrum rausbekommen kann nach deiner Aussage frag ich mich wie Google die IP-POP berechnet.

    Diese Logs habe ich auch bei mir ist nix Ungewöhnliches das Zauberwort heißt Fail2ban.
  10. mesh - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    2.627
    Zustimmungen:
    230
    Es ist Schrott. Ich habe bei 3 beliebigen IPs 0 Ergebnisse bekommen, bei denen z.B. ich dreistellige Domainzahlen in meinen Tabellen habe.
    Das ist der casus knacktus.
    Heute ist anders daß man keine Nameserver-Abfrage in bezug auf die vorhandenen Domains mehr machen kann weil per default diese externe Abfrage verweigert wird.
    Das hat mit dem Topic nix zu tun, das ist eine einfache query. Ausserdem bekommst Du mit dieser Abfrage die IP der Domain die aber nicht zwangsläufig die IP des Servers sein muß.
    Isoliert gesehen stimme ich Dir zu.
    Zwei verschiedene Paar Schuhe: ich habe ausserdem nicht behauptet, man könne nicht die IP zur Domain herausbekommen; die entsprechenden Routinen sind in Programmiersprachen standardmässig vorgesehen z.B. als gethostbyaddr bzw. gethostbyname.
    Beim Spidern werden die Domainnamen aufgelöst und ergeben logischerweise das Datenpaar Domain/IP, die IP ist also quasi ein Abfallprodukt und somit auch die IP-POP. Damit hast Du auch gleich die Antwort auf die Quelle der Daten der verschiedenen Tools: es sind schlichtweg Ergebnisse von Spider-Vorgängen.
  11. blackmexx - Premium Member -

    Mitglied seit:
    12 Juli 2010
    Erstellte Beiträge:
    263
    Zustimmungen:
    10
    Ich roll das mal von hinten auf ;) das Letzte wahr wohl doch etwas unreflektiert geschrieben.

    Zu dem Rest ich hab ja auch nie geschrieben, dass die Tools alle Domains zur IP liefern. Aber auf diese weiße kann man eben eine beachtliche Datenbank aufbauen.

    Hier mal ein Beispiel mit einer Kunden-Domain (die Domain nenne ich hier nicht)

    Die IP (85.13.134.17) der Domain liegt auf einen Webspace bei all-inkl.

    Mit der Abfrage -> http://whois.domaintools.com/85.13.134.17

    Werden mir 149 Domains zur IP angezeigt ob dies alle sind keine Ahnung hab ich auch nie behauptet. So hat der Böse Bube 149 theoretische abfrage möglichkeiten für denn Mail Zugang.

    Bei IP address 85.13.134.17 werden nur 40 angezeigt.
    Bei Reverse IP Lookup - Find Other Web Sites Hosted on a Web Server sind es 105 Ergebnisse.

    Da kommt halt was zusammen.
  12. Ruby - Premium Member -

    Mitglied seit:
    10 Juli 2009
    Erstellte Beiträge:
    184
    Zustimmungen:
    3
    Das Problem ist bei mir eben dass keine der Domains eine IP teilt sondern jede Domain ihre eigene IP zugewiesen bekommen hat. Darum ist mir das ein Rätsel wie jemand beine Domains abrufen kann oder besser gesagt sie als Loginnamen benutzt hat.
  13. blackmexx - Premium Member -

    Mitglied seit:
    12 Juli 2010
    Erstellte Beiträge:
    263
    Zustimmungen:
    10
    Schau doch einfach mal bei den "Tools" oben nach ob deine Seiten dort irgendwo gelistet sind. Von diesen Whois Seiten schwirren doch etliche im Netz rum und auf irgend einer Liste stehen deine mit drauf. bei meinen Seiten dauert das im Schnitt ein halbes Jahr dann fangen die Angriffe auf neue Domains an.

    Zur abwehr wie oben schon erwähnt Fail2ban denn ban auf 1 Stunde und es lässt nach aufhören wird dies nie.
  14. mesh - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    2.627
    Zustimmungen:
    230
    Wenn Deine Passwörter ausreichend sicher sind, dann laß' sie spielen.
  15. Fuyonet.com - Premium Member -

    Mitglied seit:
    5 Januar 2011
    Erstellte Beiträge:
    59
    Zustimmungen:
    6
    auch ueber Bing die MS Suchmaschine kann man mit IP:xx.xx.xx.xx erfahren, welche Domsins auf der IP laufen.

    was in deinem Log steht ist nicht ungewoehnlich. das kommt von (meist gehackten) servern, die eine dictionary attack machen. haben ich auf allen Servern rund um die Uhr.

    Fail2Ban ist dein Freund. in Plesk ist das als Modul integriert.

    die Angreifer-IP wird nach X Fehlversuchen fuer die Zeit Y gesperrt.

    das ist richtig. Auf einem Server, mit Kunden Accounts, die ihre Passwoerter selber aendern koennen, ist das aber schwer. man kann (sollte) password policies haben, aber auch die sind kein Garant fuer starke Passwoerter.
  16. mesh - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    2.627
    Zustimmungen:
    230
    Die aller, aller, allermeisten Brofies versuchen es mit den altbekannten Tabellen.
    Selbst die, die Geld anlegen um möglichst viele Hosting-/Zugangsprovider in's Rennen werfen.
    Bei mir hat einer heute innerhalb 10 Minuten 190 IP-Blöcke verbraten.
    Eigentlich pfiffig: jede IP nutzt er für nur einen einzigen Versuch, dann kommt nach 2 Sekunden die nächste IP, rund um den Erdball.
    Blöd halt nur, daß die jeweilige IP beim ersten Fehlversuch schon verbrannt ist bei mir.

Dieses Thema weiterempfehlen: