Database IP naar email ISP/hostingbedrijf

Het valt mij altijd op dat er zoveel bruteforcing/hack pogingen terug zijn te vinden in mijn logs. Nu vind ik dat op zich niet erg - hoewel het natuurlijk theoretisch mogelijk is dat mijn volstrekt willekeurige 12-karakters lange password al bij de eerste poging geraden wordt - alleen zit natuurlijk in de meeste gevallen een gehackt systeem achter de aanval.

Nu vroeg ik mij het volgende af: weet iemand of er een database bestaat waarin per ip-range een email adres staat met abuse email adressen van de ISP of het hosting bedrijf waar het ip adres onder valt? Het lijkt mij wel leuk om mijn iptables 'ban-script' zodanig uit te breiden dat er telkens een email met een waarschuwing wordt verzonden. Als iedereen zo'n script zou draaien zou het aantal Zombie systemen denk ik drastisch afnemen.

lordgandalf schreef op vrijdag 01 februari 2013 @ 20:24:
hmmz laten we ISPs spammen omdat hun gebruikers hun zaakjes niet voor elkaar hebben .

De ISP's zijn er toch voor hun klanten? Ik zie dat niet als spam op het moment dat de systemen van een klant bijvoorbeeld deel uit maken van een botnet. Ik zou het zelf eigenlijk ook wel graag willen weten als mijn systeem gehackt was, het lijkt me toch geen prettig idee dat alles wat ik doe kan worden gemonitord. Voor commerciële servers lijkt het mij ook niet erg prettig.

Ik heb nu een scriptje geschreven dat na een aantal brute force aanvallen via reverse mapping het bij een ip adres horende domein opzoekt, en daarna geautomatiseerd eenmalig een nette mail stuurt naar abuse@domein. Momenteel heb ik het zo gemaakt dat er geen enkele interactie met mijzelf is, de mail wordt verzonden vanaf noreply@noreply.net, zodat ik niet bedolvan wordt onder de reacties op mijn waarschuwingsmails.


Als het ip afkomstig is uit Nederland, als er vanaf het ip ooit a succesvoll ingelogd is, of als reverse mapping niet mogelijk is wordt er geen mail gestuurd. Dat om te voorkomen dat mijn server bijvoorbeeld geautomatiseerd een klacht naar mijn werkgever schrijft als ik ergens iets verkeerd geconfigureerd heb in mijn mail .

THIS MESSAGE WAS GENERATED AUTOMATICALLY

Dear Mr./Mrs.,

I have noticed several attacks on my system, originating from the following ip-address:

128.127.106.141

This ip-address seems to be owned by your company. Relevant log entries have been included at the bottom of this mail.

It is likely that the system is either compromised, or is engaged in malicious activities. I would like to kindly ask you to undertake the necessary steps to stop this.

Thank you in advance.

Best regards,
Raspberry Pi


Jan 25 23:14:15 raspberrypi sshd[12222]: reverse mapping checking getaddrinfo for hosted-by.altushost.com [128.127.106.141] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 25 23:14:15 raspberrypi sshd[12222]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=128.127.106.141 user=root
Jan 25 23:14:17 raspberrypi sshd[12222]: Failed password for root from 128.127.106.141 port 48324 ssh2
Jan 25 23:14:17 raspberrypi sshd[12222]: Received disconnect from 128.127.106.141: 11: Bye Bye

(rest van logs)

[ Voor 103% gewijzigd door SPT op 02-02-2013 10:04 ]

ebia schreef op maandag 04 februari 2013 @ 23:50:
[...]
Behoefte om je script te delen en uit te leggen hoe die werkt?

Dat wil ik best doen, misschien hebben andere mensen er nog iets aan. Ik heb er even een nieuw topic voor aangemaakt, want het gaat eigenlijk niet meer over een database zoals de titel van dit thread stelt (aangezien die niet blijkt te bestaan).

[ Voor 97% gewijzigd door SPT op 05-02-2013 11:22 ]