Schlagwort-Archive: Angriffe

(WordPress) Blogs gehackt – Fortsetzung 1

Paypal Betrugsversuch
Paypal Betrugsversuch – Betrug! stammt natürlich von mir
Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
(WordPress) Blogs gehackt – Fortsetzung 1 weiterlesen

Angriffe auf den SSH-Port

Vor einigen Wochen hatte ich letztmalig über Angriffe auf den SSH-Port geschrieben. Die meisten Angriffe erfolgte aus dem Netz der STRATO AG. In den folgenden Tagen habe ich STRATO jeden Tag eine Mail mit den IP-Adressen der Angreifer an abuse-server ( at ) strato.de geschickt. Lange Zeit hat sich nichts getan.

Angriffe auf den SSH-Port weiterlesen

Angriffe auf den SSH-Port

Die ständigen Angriffe auf den Port 22 (SSH) laufen zwar alle ins Leere, aber ein Auge halte ich trotzdem drauf. Eine Auswertung des gestrigen Tages ergab, dass fast alle Angriffe (~90%) aus dem Netz von Strato kommen, wo mein Server auch gehosted ist. Hier die IP Adressen der Kameraden, die ihren Server dringend reinigen sollten.

  • 85.214.16.192
  • 85.214.16.253
  • 85.214.205.100
  • 85.214.238.63
  • 85.214.25.183
  • 85.214.253.120

Warum in die Ferne schweifen, wenn das Gute liegt so nah. Jetzt bin ich mal gespannt, ob mir Strato irgendwann auf die Meldungen antwortet.

Falsche Bots finden

Geschützte Seiten, die trotzdem über Google gefunden werden wollen, erlauben den Zugriff, wenn er von Google kommt. Im einfachen Fall fragt der Server nur den User Agent String ab. Kennzeichnet er den Aufrufer als Googlebot, wird der Zugriff erlaubt. Dies wird gerne ausgenutzt um einen Zugriffsschutz zu umgehen.

Manche Crawler oder Nutzer – gut oder böse sei dahin gestellt – tarnen sich als Googlebot mit dem User Agent String Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html).

Frage: Wie kann ich erkennen, dass ein Zugriff wirklich von einem Googlebot kommt? Und was kann ich gegen dagegen tun?
Falsche Bots finden weiterlesen

Nun haben sie sich wohl auf mich eingeschossen

Nachdem in Dienstag und Mittwoch schon ein Angriff auf diesen Server stattgefunden hat, geht es seit gestern richtig heftig zur Sache. Freitag hat Strato den Server eine Weile vom Netz genommen, aber die Sache hat sich nicht beruhigt. Ich habe jetzt ca. 1.000 Rechner gezählt, die mit immer anderen Referer- und User-Agent-Angaben die Seiten Hauptseite abrufen. Hier eine Zeile aus dem Log.


121.54.54.45 - - [25/Nov/2012:00:05:43 +0100] "GET / HTTP/1.0" 403 1035 "k9bp0y0rh3.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"

Die Angriffe führen dazu, dass der Speicher zu 90% und der Prozessor meist zu 90-95% ausgelastet ist. Ein kleines Gegenmittel habe ich schon gefunden, aber es bewirkt nur, dass das ausgehende Datenvolumen geringer wird. Ich habe leider noch keinen Weg gefunden, den apache2 zu überreden, gar nicht mehr zu antworten.

Ob mir iptables hilft, hab ich noch nicht richtig nachvollziehen können. Der Apache bringt den Rechner an den Anschlag, sobald ich ihn starte. Leider ist beim Strato VServer nicht die SuSEfirewall sondern andere Firewall aktiv. So ganz werde ich aus den iptables nicht schlau. Was laut Beschreibung funktionieren sollte, gibt Fehlermeldungen oder wirkt nicht. Da werde ich noch etwas probieren müssen.

Gute Nacht – Vielleicht kommt mir ja noch eine Idee.

The Webalizer – Statistiken absichern

Wer einen Web-Server betreibt, der möchte – so wie ich – wissen, was so auf seinem Server vor sich geht. Welche Seiten werden besucht, wie viele, von wem, usw. Da bietet sich The Welalizer als Tool für die Auswertung der Access Logs an. Die Installation ist einfach, die Konfiguration auch. Dazu aber etwas in einem späteren Artikel. Hier möchte ich etwas über die Absicherung der Statistiken schreiben, weil mir auffiel, dass viele Administratoren die Statistiken nicht vor Zugriffen schützen.

The Webalizer – Statistiken absichern weiterlesen

SSH Angriffe blockieren

Thema: Verteidigung gegen brute force ssh attacks / ssh-Angriffe abwehren

Thomas Arend, 21. März 2008
Update: 21. September 2011

Schon seit über zehn Jahren wird über zunehmende Angriffe auf den Dienst Secure Shell (ssh) berichtet [7,8]. Mittels brute force (brutaler Gewalt) versuchen einige Zeitgenossen Rechner mit Nutzerkonten zu finden, für die ein schwaches Kennwort vergeben wurde, und diese dann für ihre Zwecke zu nutzen. Bei einer brute force attack wird versucht mit Listen häufiger Kontennamen und trivialer Passwörter Zugang zu einem Rechner zu erhalten. Mit steigender Verbreitung virtueller Server oder über DSL ständig am Internet hängender Rechner, die über ssh verwaltet werden, werden diese Angriffe in Zukunft sicher nicht abnehmen. Trotz zahlreicher Hinweise, wie man seinen Rechner gegn solche Angriffe schützt,finden sich offensichtlich noch ausreichend Opfer, sonst würden diese Angriffe lohnenderen Methoden weichen. Mein VServer und mein über DSL am Internet hängender Rechner erhält jedenfalls mehrmals täglich Besuch.

SSH Angriffe blockieren weiterlesen