Der Glastopf läuft bei mir nun schon seit fast vier Wochen. Mittlerweile ist der Datenbestand groß genug, um Statistiken und andere sinnvolle Auswertungen zu fahren. Ich habe bereits ein Repository auf der Glastopf Homepage. Dort werde ich demnächst den Quellcode einpflegen und weiterentwickeln. Jegliche Hilfe und Anregungen sind natürlich gern gesehen und ausdrücklich erwünscht.

Im Dashboard werden unter anderem die letzten fünf Angriffe, deren IP-Adressen und die Länder, von denen die Angriffe erfolgten, angezeigt. Weiterhin eine Übersicht über die fünf aktivsten IP-Adressen, sowie eine Übersicht der letzten fünf RFI-Angriffe. Neben verschiedenen Buttons, die zur Suchfunktion führen, oder eine Whois-Abfrage starten, werden bei den RFI-URLs Buttons angezeigt. Ist die RFI-URL nicht mehr verfügbar, wird dies durch ein Icon symbolisiert. Ist der URL jedoch noch aufrufbar, so kann man den Button benutzen, um sich die RFI-URL anzeigen zu lassen:

Basierend auf GeSHi, dem “Generic Syntax Highlighter”, wird der schadhafte Code dann in einer gut lesbaren Syntax zur Analyse angezeigt. Im Beispiel links sieht man einen Auszug aus einem PHP-Bot.

Zusätzlich habe ich die Aufrufe von “whois” als Shellkommando durch die PHPWhois Klasse ersetzt. Dadurch kann das Webinterface besser in gehärteten PHP Umgebungen eingesetzt werden, die häufig einen direkten Zugriff auf die Shell unterbinden. Weitere Veränderungen habe ich an einigen Stellen bereits im Design vorgenommen. Dadurch wird zum Beispiel das Logfile etwas übersichtlicher.

Ich bin wirklich kein herausragender Programmierer, daher bin ich immer wieder erstaunt, wie viel man in relativ kurzer Zeit bewegen kann, wenn man die Möglichkeit hat auf vorgefertigte Freie Software zurückzugreifen. Die Erweiterungen am Webinterface haben mich wenige Stunden gekostet. Ohne die anderen drei Open Source Projekte wäre das ein äußerst ambitioniertes Freizeitprojekt geworden. Davon abgesehen, wäre ich ohne die bisherige Open Source Vorarbeit des Glastopf-Teams wohl niemals auf die Idee gekommen, an diesem Projekt mitzuarbeiten.

[Zeige als Diashow]

Das bedeutet, die “Glückstreffer” von scannenden Bots werden nun von zielgerichteten Angriffen auf den eigentlichen Namen der Installation überrundet. Offenbar haben die Suchmaschinen die vermeintliche Beuteseite entdeckt und indexiert. Einige Stichproben bei Google zeigen, dass die Einstiegsseite unter den ersten zehn Suchtreffern für die jeweiligen Angriffsvektoren platziert ist. Das hat ca. acht Tage gedauert. So lange kann also eine verwundbare Webapplikation ggfs. unentdeckt bleiben (abgesehen von den Zufallstreffern auf die IP-Adresse).  Ab diesem Zeitpunkt steigt die Anzahl der Angriffe rapide an. Ich habe damit begonnen einige Erweiterungen am Webinterface des Glastopfes vorzunehmen. Insbesondere das automatisierte Erstellen von Charts und anderen Statistiken interessiert mich. In diesem Zuge habe ich eine Übersicht der Angreifer pro Tag, sowie die Anzahl der einzelnen Zugriffe pro Tag erstellt:

Ab dem 20. gab es ausreichend Daten, um sie in einem Chart zu verwenden. Ab dem 23. fanden die ersten Zugriffe über den DNS-Namen des Glastopfes statt. Ich bin gespannt, ob die Anzahl der Angriffe weiterhin dermaßen ansteigt. Weiterhin habe ich eine Grafik erstellt, die die Herkunftsländer der Angreifer aufschlüsselt:

Wie unschwer zu erkennen ist, liegt Deutschland dabei sehr weit vorne. Das ist allerdings insofern nicht verwunderlich, als dass der Server in Deutschland beheimatet ist. Vermutlich kommt ein Großteil der Angriffe von Drohnen aus einem Botnetz. Es ist nicht ungewöhnlich, dass die Eigentümer der zu Drohnen umfunktionierten Computer nicht einmal davon wissen, dass Ihr Computer mißbraucht wird. Für Botnetzbetreiber macht es daher aus performancegründen Sinn von den Drohnen aus Netze zu scannen, die in unmittelbarer “Nachbarschaft” liegen. Es macht wenig Sinn von Deutschland aus einen australischen Server zu attackieren.

Die Datenbasis des Glastopfes ist jedoch leider noch zu gering um mehr als Mutmaßungen anzustellen. Es bleibt daher spannend, was weiterhin passiert.

Viele Schlüsse lassen sich bisher also leider noch nicht ziehen (außer der Tatsache, dass zumindest mein Server nicht sehr häufig gescannt wird). Interessanterweise suchten alle drei Scans gezielt nach einer Schwachstelle innerhalb einer Applikation. Bisher gab es keinen Versuch in einem Scanvorgang Schwachstellen in mehreren Applikationen zu finden. Die Bots suchten nach: VHCS, Roundcube Webmail sowie phpMyAdmin.

An phpMyAdmin kann man gut erkennen, wie kreativ der Programmierer des Schwachstellenscanners versucht, phpMyAdmin auch an ungewöhnlichen Orten aufzuspüren:

///p/m/a/config/config.inc.php?p=phpinfo();
//myadmin/config/config.inc.php?p=phpinfo();
//php-my-admin/config/config.inc.php?p=phpinfo();
//mysql/config/config.inc.php?p=phpinfo();
//dbadmin/config/config.inc.php?p=phpinfo();
//admin/config/config.inc.php?p=phpinfo();
//pma/config/config.inc.php?p=phpinfo();
//phpmyadmin/config/config.inc.php?p=phpinfo();

Gibt es tatsächlich so viele Benutzer, die dem Security by Obscurity Prinzip folgen? Immerhin besteht die Chance bei einer neu entdeckten Schwachstelle nicht umgehend attackiert zu werden, wenn die Applikation nicht im erwarteten URL-Pfad liegt. Andererseits muss man sicherstellen, dass solche Seiten auch nicht von einem Crawler gefunden und indexiert werden. Genaugenommen ist es ein Widerspruch in sich. Man kann öffentlich zugänglichen Webseiten nicht verstecken.

Ziel ist es, wie bei Honeypots üblich, Informationen über Angriffsmuster und Angreiferverhalten zu protokollieren. Durch die Aktionen, die der Angreifer ausführt lernt man dessen vorgehensweise und eventuell auch dessen Tools besser kennen. Mit diesen Informationen können Webapplikationen besser geschützt und Sicherheitslücken frühzeit erkannt werden.

Ich habe dieses Wochenende genutzt, um einen eigenen Glastopf Server einzurichten. Der schwierigste Teil ist es den URL des Servers bei Suchmaschinen bekannt zu machen. Denn die potentiellen Angreifer müssen die vermeintlichen Dienste zunächst einmal finden. Das habe ich mittels einbinden von Links auf gut frequentierten Webseiten von mir und einigen Bekannten getan. Daher an dieser Stelle auch nochmal vielen Dank für das setzen der Links! Nun heißt es abwarten, bis der erste Angreifer das Ziel findet. Sobald sich etwas tut, werde ich hier berichten.