HTML5 Icon 10 Jahre Thailand 

Gedanken zur IT-Sicherheit

by Nudels


Posted on Mittwoch Mai 13, 2020 at 03:33PM in Technik - Administration


Ein lästiges Übel für alle Server-Betreiber


Dieser Server läuft seit ungefähr 10 Jahren unbeschadet und stabil im Internet. Zur Zeit wird dieser Server alle 2 Minuten mit schweren Angriffsversuchen attackiert. Ein schwerer Angriffsversuch bedeutet, dass Werkzeuge eingesetzt werden, die dem Benutzer auf einen Zugriff der Shell hoffen lassen. Solche Aktionen werden von mir regelmäßig kontrolliert, abgeblockt und auch registriert. Was die Angreifen wahrscheinlich nicht vermuten ist, dass man sie bis zum Endgerät zurückverfolgen kann, wenn man dieses möchte.
Begleitet werden diese schweren Attacken von unzähligen Versuchen mit Werkzeugen aus irgendwelchen Hacker-Kisten,  Zugang zu Server-Komponenten zu erlangen. Dieses wird von mir ebenfalls mit der gleichen Liebe behandelt, wie ein schwerer Angriff.



Die Motivation von diesen vermeintlichen IT-Nerds ist nicht nachvollziehbar. Sie sind für mich nur billige Diebe ohne besonderes IT-Wissen. Sie stehlen mir die Zeit. Leider nehmen Internet-Provider Beschwerden über den Missbrauch ihrer Dienstleistungen nicht zur Kenntnis, auch nicht , wenn man ihnen sehr detaillierte Protokolle zukommen lässt. Offensichtlich ist man in dieser Situation ganz auf sich alleine gestellt.



Wenn mir die Angriffe aus einer speziellen Region zu heftig werden, sperre ich diese Region vollständig für alle Dienste. Dieses betrifft auch den Mail-Betrieb. Es ist schade für die Benutzer, die ein Interesse an den Inhalten und Diensten des Servers haben. Sie sind dann ebenfalls erstmal draußen. Auf Anfrage kann ich einzelne Zugänge freischalten. Genauso, wie ich mit den Regionen verfahre, verfahre ich auch mit den Internetprovidern. Leider gibt es auch hier Anbieter, die sich herauskristallisieren.



Ich empfehle jedem Betreiber eines Servers mit Internet-Verbindung und Diensten regelmäßig alle betroffenen Protokolle auszuwerten und entsprechend zu reagieren. Am besten sollte dieses in einer programmierten Form passieren. Die Ergebnisse sehen dann möglicherweise so aus, wie in der folgenden Abbildung. Wenn jeder seinen Server stabil absichert, werden die Dummköpfe bald die Lust an ihrem dummen Tun verlieren und wir hätten alle mehr Zeit für sinnvolle Tätigkeiten.


Nils Wehrmann

Hier sieht man eine Momentaufnahme von Angriffsfällen, die eine sehr hohe Aufmerksamkeit verdienen:




Hoffnung auf die Shell


So sehen dann die Zugangsversuche von Hackern niederer Qualität aus:



Das sieht nach einem Baukasten aus - Brutforce kann ich hier jetzt nicht mehr feststellen, da die Kandidaten schon beim ersten Versuch draussen stehen, es ist aber wahrscheinlich.


Dieser geduldige Einfaltspinsel hatte es über eine Stunden mit unterschiedlichen IP-Adressen versucht. Ich merke sowas – Gruß nach Frankreich und auch mal an die frische Luft gehen und einen Brie in den weichen Keks schieben.



Auch das ist aus einem Hackerbaukasten.




Wenn man in seinen Google Analytics Reports einen Eintrag wie diesen findet:




22 Zugriffe auf einer ausschließlich deutschspachigen Seite an einem Vormittag


... ja dann sollte man aktiv werden. Ich prüfe in diesem Fall die Automatismen meiner Firewall und bin im Regelfall zufrieden. Es wäre vielleicht mal interessant die Firewall für einen Moment ausszuschalten und die Verbindung zu nutzen um dieses und jenes vom Rechner des Erstsemesters des Kremel-Hacker auszukundschaften. :-D