Ralf Zimmermann SIEGNETZ.IT GmbH

Aktuelles

Spamhaus 127.*.*.* Return Codes

Zurück zum Seitenanfang | Publiziert am

Oft gibt es Irretationen bei den Antwort Codes von RBL Abfragen. Zur Erläuterung habe ich die Antwort Codes von Spamhaus mal aufgeführt.

Return Codes

Spamhaus uses this general convention for return codes:
Return Code Description
127.0.0.0/24 Spamhaus IP Blocklists
127.0.1.0/24 Spamhaus Domain Blocklists
127.0.2.0/24 Spamhaus Whitelists
Return codes for Spamhaus IP zones:
Return Code Zone Description
127.0.0.2 SBL Spamhaus SBL Data
127.0.0.3 SBL Spamhaus SBL CSS Data
127.0.0.4 XBL CBL Data
127.0.0.10 PBL ISP Maintained
127.0.0.11 PBL Spamhaus Maintained
We recommend you use SBL together with XBL and PBL, as the three zones block different spam sources. To save you having to query three separate DNSBL zones there is a special combined DNSBL zone called Zen which contains the complete SBL, XBL and PBL data. We recommend you use this combined DNSBL zone for checking SMTP connecting IP. To use it, simply set your mail server's DNSBL check to query zen.spamhaus.org only. (Don't query SBL, XBL or PBL and Zen!)
DNSBL Zone to Query Returns Contains
SBL sbl.spamhaus.org 127.0.0.2-3 Static UBE sources, verified spam services (hosting or support) and ROKSO spammers
XBL xbl.spamhaus.org 127.0.0.4-7 Illegal 3rd party exploits, including proxies, worms and trojan exploits
PBL pbl.spamhaus.org 127.0.0.10-11 IP ranges which should not be delivering unauthenticated SMTP email.
ZEN zen.spamhaus.org 127.0.0.2-11 Combined zone (recommended). Includes SBL, XBL and PBL.

Honeypot attacked URL's

Zurück zum Seitenanfang | Publiziert am | Aktualisiert am

Neben den Quell Adressen der Attacken gegen meine Honeypots habe ich die URl's ausgewertet die aufgerufen wurden.

Die häufigsten attackierten Honeypot URL's

/admin
/admin/login.php
/cgi-bin/hello
/cgi-bin/index.cgi
/cgi-bin/login.php
/cgi-bin/test.cgi
/login.php
/tmUnblock.cgi
/typo3
/vtigercrm
/webmail/login.php
/xmlrpc.php
/wp-login.php
/wp-admin/admin-ajax.php

SSL Funktionalität testen

Zurück zum Seitenanfang | Publiziert am

Wer seine Server und seinen Client auf die Heartbleed oder auf die Poodle SSLv3 Lücke testen möchte, kann dies mit folgenden Tools erledigen.

Nützliche Links um SSL Verbindungen und Zertifkate zu testen

von Qualsys SSL Labs
von Thawte, Inc.

Microsoft Active Sync Verbindungen testen

OpenSSL Test Poodle

openssl s_client -connect rz.siegnetz.de:443 -ssl3

OpenSSL Test Heartbleed

openssl s_client -connect rz.siegnetz.de:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

Blacklist aus Attacken gegen SSH,SMTP,IMAP und HTTP

Zurück zum Seitenanfang Publiziert am

Ich habe die Quell Adressen der Attacken gegen unsere Honeypots zusammengefasst. Die Attacken wurden gegen die Services SSH,SMTP,IMAP, und HTTP durchgeführt. Bei Gelegenheit werde ich die Liste aktualisieren und zum Download zur Verfügung stellen.

Blacklist

113.200.0.0/15
117.23.0.0/13
117.24.0.0/13
122.155.192.0/19
122.225.0.0/16
122.64.0.0/11
189.203.0.0/16
192.126.120.35
218.2.0.0/15
218.2.0.0/16
218.4.0.0/16
222.219.0.0/16
5.160.0.0/16
58.18.0.0/16
58.240.0.0/15
60.166.0.0/15
60.168.0.0/13
60.190.0.0/16
61.140.0.0/16
61.174.0.0/16
69.64.32.0/19
82.221.0.0/16
88.80.0.0/16
93.174.88.0/21
94.102.0.0/16
95.181.0.0/16

Server gegen POODLE SSLv3 Vulnerability absichern

Zurück zum Seitenanfang | Publiziert am | Aktualisiert am

Apache

Wer seinen Webserver so konfiguriert das SSLv2 und SSLv3 deaktiviert sind, wird seine Seite von einigen Webcrawlern oder Bots nicht mehr erfassen lassen können. Dazu gehört auch der GoogleBot.

SSLHonorCipherOrder on
SSLCipherSuite ALL:!ADH:!SSLv2:!SSLv3:!EXPORT56:!EXPORT40:!RC4:!DES:+HIGH:+MEDIUM:+EXP
SSLProtocol All -SSLv2 -SSLv3

Dovecot

ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL

Postfix

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5