Mit der Inbetriebnahme dieser Seite ist notgedrungenermassen der Port 80 erreichbar, was den ganzen Wannabe Kindergarten anzieht. Ich gehe mal davon aus, dass ich die echten Angriffe nicht mitkriege.
Zum Schutz des TS und auch anderer Netze läuft dieses Webserver Mopped wiederum in einem separaten Netzwerk. Schlimmstenfalles zerlegt jemand das EasyWi, was schnell wieder herstellbar wäre. 😛
Bis jetzt war keine im TS bekannte IP mit einem Angriff verbunden. Zumindest war keiner so bescheuert, mit seiner direkten IP anzuklopfen. xD
Zu den Fakten: Grafik, so sieht der Dezember aus:
Es gab insgesamt 77 Angriffe, folgende Top 10 Adressen:
Angriffsziele auf dem Webserver:
Snort Rule IDs
Die Firewall spuckt nicht direkt aus, was da im Detail lief. Es gibt dazu eine entsprechende Website.
Anhand der Resultate erscheinen die Angriffe nicht spezifisch auf Habato gerichtet, sondern sind eher ein Schuss ins Nirvana durch den Angreifer.
Weder Excel noch D-Link ist in diesem Server Umfeld vertreten.
43238 Imatix DOS
44388 DLink Credentials
44660 DLink Command Execution
41818 Apache Struts Remote
41819 Apache Struts Remote #2
40880 Moxa DOS
Portscanner
Gibt’s leider auch mehr und mehr. Ist eigentlich egal, die Firewall droppt die Pakete automatisch.
Einzig, es bläst mir die Mailbox voll:
Haut rein
Gruss
Markus
1 thought on “Serverangriffe im Dezember 2017”
Leave a Comment
You must be logged in to post a comment.
Ist das möglich die Meltdown Lücke von remote auszunutzen?
Aber ansonsten liefert die Firewall mit den Regeln wohl ne 1A Leistung!