Censys, Shodan & Co

    Quote from tab

    Wie haltet ihr es damit auf euren Servern? Censys, Shodan & Co blocken oder sie einfach ignorieren und gewähren lassen?

    die Verantwortlichen, welche sowas erlauben gehören auf eine extraterestrische Strafkolonie hinterm Mond ;)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Quote from perryflynn

    Ist doch egal. Die, die mit den bösen Exploits kommen scannen eh selbst.

    Alles, was den Aufwand der Angreifer erhöht oder sie stärker exponiert, weil sie nicht einfach unbemerkt in eine fertige Opferdatenbank schauen können, hilft. Aber der Einwand stimmt trotzdem: Natürlich blockiert man alle, die scannen, nicht nur die, die offen mit Beihilfe ihr Geld verdienen.

    Geht mir gar nicht so sehr um das Veröffentlichen der Daten, mich stört der Scan an sich, der Missbrauch von Ressoucen. Nein, meine so gescannten Server haben genug Ressourcen, aber das können die vorher nicht wissen. Hinterher vielleicht, aber dann hätte der Server ein ernsthaftes Sicherheitsproblem. Die zu blocken ist nie endender Aufwand, die wechseln die IPs öfter mal und sind in unterschiedlichen Subnetzen unterwegs. Also alles was über irgendwelche Blocklisten oder fail2ban rausgeht pure Arbeitsbeschaffungsmaßnahme.


    Ich bin da diesmal nur draufgestossen, weil ich derzeit noch meine Resolver Logs schreiben lasse und diese überwache. Da steht dann 20x die selbe IP, für die der PTR vom selben Server abgefragt wurde innerhalb kurzer Zeit.


    Beim entsprechenden Server finde ich dann in den Logs, dass sich die IP 20 Mal hintereinander mit dem smtpd verbunden hat und sich dann ohne Aktion wieder verabschiedet. Teils mit irgendwelchen Fehlern in der TLS-Library oder mit fehlerhaften Anfragen.


    Ein andermal finde ich irgendeine IP im Log des Backup-Resolvers, der nur gefragt wird, wenn der erste nicht rechtzeitig eine Antwort liefert oder eben SERVFAIL. Da weiss ich dann gleich, mit der IP muss was komisch sein, sonst hätte der die Anfrage nicht bekommen. Da sie von Censys ist, kann man davon ausgehen, dass das Reverse DNS nicht versehentlich fehlschlägt. Also absichtlich präpariert, eventuell um herauszufinden, welche Resolver der Server benutzt. Die entsprechenden IPs der Resolver bekommen sie ja schön der Reihe nach geliefert, weil alle SERVFAIL liefern bei der Abfrage des PTR. Die IPs ist auch auf diversen DNS-Blocklisten gelistet. Bringt aber leider herzlich wenig in dem Fall.


    Jetzt könnte man sagen, gut dass es Shodan, Censys & Co gibt. Aber immer, wenn ich sowas finde ist es garantiert einer dieser Scanner, nie irgendein unbekannter Hacker. Jeden Tag mehrmals die selben "Tests". Der Ressourcenverbauch hält sich freilich auch in Grenzen, die Abfrage wird ja vom Resolver nur einmal wirklich rekursiv gemacht, die restlichen 19 Antworten kommen aus dem Cache. Und auch bei der einen rekursiven Abfrage wird ja der entsprechende Thread nicht blockiert, per UDP jedenfalls nicht.

    Prinzipiell blockiere ich nur, wenn irgendwer/-was von den Ressourcen her auffällig wird. Und dann ist es mir egal, ob das Shodan, ein Script Kiddie oder ein AI-Bot ist…


    Ansonsten ist mir das alles egal, weil man eh nicht alle Akteure aus dieser Branche kennt und ich das als Grundrauschen akzeptiere. Die wirklichen Absichten eines Clients kennt man sowieso meistens nicht, viele fliegen unter dem Radar und fallen gar nicht auf.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Like 1

    Ich blocke Censys und Shodan über ipset. Während Censys die IP-Adressen veröffentlicht, muss man sich die Adressen für Shodan irgendwie zusammensuchen.


    https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection