De robots vallen aan! En we laten het gewoon gebeuren.

Een publicatie van: dhr ing Robin Louwerse

Ik heb het knabbelbots genoemd. Als systeemadministrator ben je gewend om naar de hoofdzaken te kijken, en als er tijd over is naar ogenschijnlijke bijzaken. Als je in de logfiles kijkt, dan zie je dagelijks wel een aanval die als "Brute Force" wordt bestempeld. Als je dan in de "aanval" kijkt dan zie je dat er 100 (or so) pogingen zijn geweest op een user. Dat kan een FTP of e-mail adres zijn, een ssh user, of de root administrator. 

Met 100 aanvallen sla je er geen acht op. Je hebt wel grotere aanvallen gezien. Het viel ons op omdat wij regelmatig "nieuwe" cloudsystemen inrichten. De 100 pogingen worden gedaan door een geautomatiseerde robot. Niemand die er moe van wordt. Het botje doet gewoon zijn werk en probeert eens wat op een account. Maar wat opvalt is dat de "aanval" telkens van een ander IP adres af komt. En als we kijken hoe we doorgaans "ban" systemen inrichten, bijvoorbeeld fail2ban, dan doen we dat incremental. De eerste x pogingen zorgen voor een ban van x minuten, de tweede fail dubbele tijd en zo voort.

De knabbelbots doen het als een zwerm drones. Telkens van een ander IP adres, en telkens maar 100 tot 120 pogingen. Je slaat er geen acht op omdat het zo weinig pogingen zijn. Fail2ban maakt zich niet druk, die doet het IP in de ban voor x tijd, meestal minder dan een uur. De knabbelbot doet het een uur later weer en heeft geen last van "bans".

Maar waar ik me dan druk over maak? Elk uur van de dag 100 pogingen is 2400 pogingen per dag. Ik ken de laaghangend fruit lijsten wachtwoorden, stel dat daar 100.000 wachtwoorden op staan. Daar ben je dan in 4 dagen doorheen met een gedistribueerde zwerm van 10 bots.

Als je bereid bent om elke 4 dagen je wachtwoord te resetten is er dus niets om je druk om te maken. Maar wat nu als het geen 10 maar 100 of 1.000 bots zijn.

Want het neemt nogal toe. En met 1.000 bots die elk uur van een ander IP 100 wachtwoorden proberen is 2.4M pogingen per dag die ongedetecteerd een poging wagen.

Met een wachtwoord van 8 karakters cijfers, letters en tekens kom ik op 68 to de 8e = 457.163.239M unieke combinaties. Je bent er niet super vlot doorheen, maar omdat het een bot is hebben ze alle tijd.

Ik vond het te vermelden waard. Heb je zelf ook een vreemde actie in de logfiles gezien? Maak ook een publicatie aan!

Wij komen graag met u in contact als u server hosting en security gerelateerde vragen hebt.