Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Database IP naar email ISP/hostingbedrijf

Pagina: 1
Acties:
  • 622 views

  • SPT
  • Registratie: januari 2007
  • Laatst online: 23-03 22:33
Het valt mij altijd op dat er zoveel bruteforcing/hack pogingen terug zijn te vinden in mijn logs. Nu vind ik dat op zich niet erg - hoewel het natuurlijk theoretisch mogelijk is dat mijn volstrekt willekeurige 12-karakters lange password al bij de eerste poging geraden wordt - alleen zit natuurlijk in de meeste gevallen een gehackt systeem achter de aanval.

Nu vroeg ik mij het volgende af: weet iemand of er een database bestaat waarin per ip-range een email adres staat met abuse email adressen van de ISP of het hosting bedrijf waar het ip adres onder valt? Het lijkt mij wel leuk om mijn iptables 'ban-script' zodanig uit te breiden dat er telkens een email met een waarschuwing wordt verzonden. Als iedereen zo'n script zou draaien zou het aantal Zombie systemen denk ik drastisch afnemen.

  • Exhar
  • Registratie: februari 2007
  • Laatst online: 12:54
RIPE kan je hierbij helpen (as in: de RIPE whois geeft je die informatie).

www.ripe.net :)

Exhar wijzigde deze reactie 31-01-2013 22:32 (88%)


  • ndeleeuw
  • Registratie: februari 2002
  • Laatst online: 25-04 07:55
hmmz laten we ISPs spammen omdat hun gebruikers hun zaakjes niet voor elkaar hebben :S.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


  • SPT
  • Registratie: januari 2007
  • Laatst online: 23-03 22:33
quote:
ndeleeuw schreef op vrijdag 01 februari 2013 @ 20:24:
hmmz laten we ISPs spammen omdat hun gebruikers hun zaakjes niet voor elkaar hebben :S.
De ISP's zijn er toch voor hun klanten? Ik zie dat niet als spam op het moment dat de systemen van een klant bijvoorbeeld deel uit maken van een botnet. Ik zou het zelf eigenlijk ook wel graag willen weten als mijn systeem gehackt was, het lijkt me toch geen prettig idee dat alles wat ik doe kan worden gemonitord. Voor commerciële servers lijkt het mij ook niet erg prettig.

Ik heb nu een scriptje geschreven dat na een aantal brute force aanvallen via reverse mapping het bij een ip adres horende domein opzoekt, en daarna geautomatiseerd eenmalig een nette mail stuurt naar abuse@domein. Momenteel heb ik het zo gemaakt dat er geen enkele interactie met mijzelf is, de mail wordt verzonden vanaf noreply@noreply.net, zodat ik niet bedolvan wordt onder de reacties op mijn waarschuwingsmails.


Als het ip afkomstig is uit Nederland, als er vanaf het ip ooit a succesvoll ingelogd is, of als reverse mapping niet mogelijk is wordt er geen mail gestuurd. Dat om te voorkomen dat mijn server bijvoorbeeld geautomatiseerd een klacht naar mijn werkgever schrijft als ik ergens iets verkeerd geconfigureerd heb in mijn mail :).
quote:
THIS MESSAGE WAS GENERATED AUTOMATICALLY

Dear Mr./Mrs.,

I have noticed several attacks on my system, originating from the following ip-address:

128.127.106.141

This ip-address seems to be owned by your company. Relevant log entries have been included at the bottom of this mail.

It is likely that the system is either compromised, or is engaged in malicious activities. I would like to kindly ask you to undertake the necessary steps to stop this.

Thank you in advance.

Best regards,
Raspberry Pi


Jan 25 23:14:15 raspberrypi sshd[12222]: reverse mapping checking getaddrinfo for hosted-by.altushost.com [128.127.106.141] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 25 23:14:15 raspberrypi sshd[12222]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=128.127.106.141 user=root
Jan 25 23:14:17 raspberrypi sshd[12222]: Failed password for root from 128.127.106.141 port 48324 ssh2
Jan 25 23:14:17 raspberrypi sshd[12222]: Received disconnect from 128.127.106.141: 11: Bye Bye

(rest van logs)

SPT wijzigde deze reactie 02-02-2013 10:04 (103%)


  • ebia
  • Registratie: maart 2007
  • Laatst online: 14-03 15:43
quote:
SPT schreef op vrijdag 01 februari 2013 @ 20:52:
[...]
Ik heb nu een scriptje geschreven dat na een aantal brute force aanvallen via reverse mapping het bij een ip adres horende domein opzoekt, en daarna geautomatiseerd eenmalig een nette mail stuurt naar abuse@domein. Momenteel heb ik het zo gemaakt dat er geen enkele interactie met mijzelf is, de mail wordt verzonden vanaf noreply@noreply.net, zodat ik niet bedolvan wordt onder de reacties op mijn waarschuwingsmails.
Behoefte om je script te delen en uit te leggen hoe die werkt?

  • SPT
  • Registratie: januari 2007
  • Laatst online: 23-03 22:33
quote:
ebia schreef op maandag 04 februari 2013 @ 23:50:
[...]
Behoefte om je script te delen en uit te leggen hoe die werkt?
Dat wil ik best doen, misschien hebben andere mensen er nog iets aan. Ik heb er even een nieuw topic voor aangemaakt, want het gaat eigenlijk niet meer over een database zoals de titel van dit thread stelt (aangezien die niet blijkt te bestaan).

SPT wijzigde deze reactie 05-02-2013 11:22 (97%)


  • Olaf van der Spek
  • Registratie: september 2000
  • Niet online
quote:
SPT schreef op vrijdag 01 februari 2013 @ 20:52:
de mail wordt verzonden vanaf noreply@noreply.net, zodat ik niet bedolvan wordt onder de reacties op mijn waarschuwingsmails.
Wees dan stoer genoeg om je eigen email adres te gebruiken.
quote:
Dat om te voorkomen dat mijn server bijvoorbeeld geautomatiseerd een klacht naar mijn werkgever schrijft als ik ergens iets verkeerd geconfigureerd heb in mijn mail .
Als je zo onzeker bent over je scripts is het verstandiger NIET automatisch emails te versturen.

  • RodeSchorpioen
  • Registratie: januari 2018
  • Laatst online: 08-02 14:04

RodeSchorpioen

people over paper

Hoi,

ik heb geen idee of er uberhaupt nog iemand met deze topic bezig is, maar ik probeer toch enige reactie te ontlokken.
Afgelopen zaterdag en vandaag werden er behoorlijk veel pogingen gedaan om mijn website te hacken. Vanuit meerdere regio's werd er gepogd om 'admin' toegang te verkrijgen tot mijn website.
Ik ben gestart met een en ander te loggen en te noteren. Zo kan ik de desbetreffende ip-ranges toegang weigeren.

Ik breng ook telkens mooi de ISP (Internet Service Provider) op de hoogte via hun aangegeven 'abuse' e-mailadres (cfr WHOIS lookup).
Nu wil de realiteit echter dat ik bij meerdere isp's een 'delivery failure notice' kreeg betreffende mijn misbruikmelding. Ik vond zelfs een ISP die geen abuse-contactadres in zijn gegevens stan heeft (Trans-Sahara net)
Mijn concrete vragen:
- is er een bepaalde richtlijn om contact op te nemen met een ISP betreffende misbruik vanuit zijn netwerk.
- is er een overkoepelend orgaan waarbij ik klacht kan indienen in verband met misbruiken vanuit een bepaald netwerksegment of ip-adres
- is er een bepaald orgaan waarbij ik een klacht kan uiten over het onbereikbaar zijn van de abuse-afdeling van een isp?

RodeSchorpioen


  • Jester-NL
  • Registratie: januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Ik zou er niet te veel tijd in stoppen... Heb je een site op wordpress? Installeer Wordfence en laat de hackers automatisch blocken.
Tijd steken in het achterhalen van IP-adressen en die willen laten blokkeren? Dan zul je eerst moeten uitzoeken dat je niet achter een botnet aanjaagt. Ik zou de abuse-contacten gewoon laten, en alleen gebruiken als op een door ISP X gehostte site spam of phising staat.

Verdoe je tijd niet... niet met jagen en niet met klagen. TImmer de boel dicht...

Jester-NL wijzigde deze reactie 02-02-2019 17:53 (44%)

Take life too serious and it ceases to be fun
me @ last.fm

Pagina: 1

Dit topic is gesloten.



OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True