Riktad lösenordsattack från Kina
Igår kväll började det plinga i min mail, inget ovanligt i sig eftersom jag övervakar och driftar ganska många servrar, men den här gången var det ett väldigt plingande under kort tid.
Det visar sig att några IP intervall från Kina hade bestämt sig för att utföra en större riktad lösenordsattack mot en server jag driftar i en molntjänst åt kund.
Anledningen till att jag skriver det här är just för att visa att det förekommer attacker precis hela tiden varav de flest är några enstaka försök medans andra är uppenbart riktade och någon verkligen vill ta sig in.
Oavsett storleken på attacken och hur många olika IP adresser hackern försöker döljsa sig bakom så blockeras det ändå effektivt och automatiskt av Syspeace.
Principen bakom Syspeace är enkel.
Om en IP adress misslyckas med att logga in X antal gånger under Y lång tid så blockeras den IP adress från all kommunikation under Z lång tid.
Som ett fail2ban for Windows eller denyhosts for Windows men med mer funktionalitet, stöd för fler detektorer och system och god rapportering o.s.v
Lösenordsattacker
De flesta attacker kommer onekligen från en specifik IP adress men även den här typen av större och uppenbart riktade attacker förekommer alltså också.
Man lever ofta i tron att små företag är ointressanta för hackers att försöka ta sig in i men tyvärr är det helt fel vilket jag tror att nedanstående logg från Syspeace visar väldigt tydligt.
De allra flesta intrångsförösk under gårdagen var alltså från just Kina , spridda över många olika IP adresser och intervall vilket tyder på en hacker med resurser och målmedvetenhet.
Utan Syspeace hade jag som tekniker / driftsansavrig inte haft en aning om att det ens pågick och än mindre något skydd mot det.
Att manuellt blockera varje enskild adress är såklart orimligt och att veta i förväg varifrån ett intrångsförösk kommer går ju sklart inte heller.
Utan effektivt skydd hade varje IP adress som attackerade kunnat gå igenom en hel ordboksattack och försökt gissa sig till ett användarnamn och lösenord dvs från ett hundratal IP adresser kunder det skickats iväg 10 000- 20 000 inlognningsförsök mot serven vilket i sin tur effektivt hade tagit väldigt mycket resurser i anspråk för servern (i näst värsta fall hade det lett till en Denial of Service) och naturligvis risken att de hade lyckats ta sig in.
Attacken upphörde för övrigt då jag antar de insåg det fanns en IDS på plats för att hantera det.
Rapport från Syspeace efter attacken
Nedan är rapprten som genererades av Syspeace.
Från: *******@*****.se
Datum:2015-07-10 00:05 (GMT+01:00)
Till: “******* @ *****” < *******@******.se>
Rubrik: Daily Syspeace report (*******.******.se, 2015-07-09)
Report for 2015-07-09
IP address Times Host name and country
——————– —– ——————————-
2.228.31.60 3 2-228-31-60.ip189.fastwebnet.it; Italy (IT)
42.123.80.142 2 ; China (CN)
62.20.107.114 1 ns.sdata.se; Sweden (SE)
62.141.41.74 1 VPS41074; Germany (DE)
118.254.24.29 1 ; China (CN)
118.254.24.41 1 ; China (CN)
118.254.24.44 1 ; China (CN)
118.254.24.87 1 ; China (CN)
118.254.24.96 1 ; China (CN)
118.254.24.97 1 ; China (CN)
118.254.24.120 1 ; China (CN)
118.254.24.125 1 ; China (CN)
118.254.24.129 1 ; China (CN)
118.254.24.141 1 ; China (CN)
118.254.24.142 1 ; China (CN)
118.254.24.144 1 ; China (CN)
118.254.24.149 1 ; China (CN)
118.254.24.151 1 ; China (CN)
118.254.24.153 1 ; China (CN)
118.254.24.154 1 ; China (CN)
118.254.24.155 1 ; China (CN)
118.254.24.158 1 ; China (CN)
118.254.25.58 1 ; China (CN)
189.129.205.108 1 dsl-189-129-205-108-dyn.prod-infinitum.com.mx; Mexico (MX)
190.146.121.6 5 dynamic-ip-1901461216.cable.net.co; Colombia (CO)
201.79.56.151 1 201-79-56-151.user.veloxzone.com.br; Brazil (BR)
203.117.252.43 1 ; Singapore (SG)
220.169.204.22 1 ; China (CN)
222.245.166.20 1 ; China (CN)
223.153.2.193 1 ; China (CN)
223.153.80.11 1 ; China (CN)
223.153.80.93 1 ; China (CN)
223.153.81.17 1 ; China (CN)
223.153.81.142 1 ; China (CN)
223.153.81.201 1 ; China (CN)
223.153.82.6 1 ; China (CN)
223.153.82.22 1 ; China (CN)
223.153.82.26 1 ; China (CN)
223.153.82.29 1 ; China (CN)
223.153.82.133 1 ; China (CN)
223.153.82.138 1 ; China (CN)
223.153.82.141 1 ; China (CN)
223.153.82.146 1 ; China (CN)
223.153.82.163 1 ; China (CN)
223.153.82.168 1 ; China (CN)
223.153.82.171 1 ; China (CN)
223.153.82.175 1 ; China (CN)
223.153.82.181 1 ; China (CN)
223.153.82.195 1 ; China (CN)
223.153.82.201 1 ; China (CN)
223.153.82.203 1 ; China (CN)
223.153.82.209 1 ; China (CN)
223.153.82.212 1 ; China (CN)
223.153.82.246 1 ; China (CN)
223.153.82.254 1 ; China (CN)
223.153.83.4 1 ; China (CN)
223.153.83.59 1 ; China (CN)
223.153.83.66 1 ; China (CN)
223.153.83.69 1 ; China (CN)
223.153.83.72 1 ; China (CN)
223.153.83.77 1 ; China (CN)
223.153.83.78 1 ; China (CN)
223.153.83.79 1 ; China (CN)
223.153.83.82 1 ; China (CN)
223.153.83.105 1 ; China (CN)
223.153.83.106 1 ; China (CN)
223.153.83.109 1 ; China (CN)
223.153.83.111 1 ; China (CN)
223.153.83.116 1 ; China (CN)
223.153.83.117 1 ; China (CN)
223.153.83.118 1 ; China (CN)
223.153.83.124 1 ; China (CN)
223.153.83.127 1 ; China (CN)
223.153.83.163 1 ; China (CN)
223.153.83.174 1 ; China (CN)
223.153.83.208 1 ; China (CN)
223.153.83.242 1 ; China (CN)
Hourly breakdown (blocks per hour)
00 x2
01 x1
02 x1
03
04 x2
05
06 x1
07 x1
08 x1
09
10
11 x1
12
13 x1
14
15
16 x1
17
18
19 x1
20 x1
21 x1
22 x69
23
Generated 2015-07-10 00:04:54 for machine *******.*******.se by Syspeace v2.5.2.0
Vill ni ha hjälp med att sätta upp ett effektivt intrångsskydd på era Windows servrar?, kontakta mig här