Es ist jetzt drei Wochen her als alles begann. Das Server-Monitoring schlug Alarm. SSH, FTP und SMTP seien nicht erreichbar. Mit einer Brute Force-Attacke gegen einen Kunden-Server wurde versucht ein Passwort zu erraten. Dabei wurden so viele Anfragen zur gleichen Zeit an den Server gesendet, dass er beinahe stehen blieb.

Starke Paswörter

Nun “predige” ich immer in meinen Linux- und Webserver-Verwaltung-Seminaren, das lange und starke Passwörter für die Systemsicherheit enorm wichtig sind. Kleinbuchstaben, Großbuchstaben und Zahlen sollten bunt gemischt verwendet werden und vielstellig sollten sie sein. Beim SSH-Zugang sollte man ein Root-Login verbieten, damit die Angreifer den Benutzer-Namen und das Passwort erraten müssen.

Sollten sie das dann tatsächlich schaffen, müssen sie ein weiteres Passwort für den Super-User erraten. In Verbindung mit den bereits erwähnten starken Passwörten müsste die Brute Force-Attacke über sehr lange Zeit laufen um Erfolg zu haben.

Weiterhin verwende ich beim SSH-Zugang kein Passwort sondern eine Schlüssel-Datei. Zugang bekommt man nur mit diesem Key-File. Bei der Anforderung des Schlüssels kommt dann zusätzlich noch einmal ein, Sie haben es bestimmt geahnt, starkes Passwort zum Zuge.

FTP und SMTP bei Hackern sehr beliebt

Der gefährliche SSH-Zugang ist somit sehr sicher, doch im Bereich von FTP und SMTP werden oft die schwachen Passwörter sehr schnell kompromittiert. Im Zuge der immer besser werdenden SPAM-Analyse mittels SPF- und Domain-Key-Technologie werden gezielt SMTP-Server gehackt, um dann tausende SPAM-Mails über diese Server zu versenden. Diese Emails passieren dann nahezu alle SPAM-Filter, da die Emails ja über den “echten” Server versendet worden sind. Einen Tag nach der Attacke fielen mir dann SPAM-Mails auf, die über den Server eines deutschen Automobilhersteller versendet worden sind. – Dort hatten die Hacker wohl mehr Erfolg als bei mir.

Trojaner tarnt sich als Video

Über den FTP-Zugang werden Trojaner unbemerkt auf Internetseiten geladen, die sich als Video-Datei tarnen. Ob es nun berühmte Hollywood-Stars sind, die angeblich hüllenlos zu sehen sein sollen, oder aber die Frau des angehenden amerikanischen Staatsoberhaupt bei irgendwelchen “Jugendsünden”. Alle möglichen lockende Szenarien sind dabei im Umlauf. Wenn man dann auf den übermittelten Link klickt erscheint eine Meldung, dass man die aktuelle Version des Flash-Players installieren muss, um das Video zu sehen, und exakt hierbei wird dann das Schadprogramm übertragen und der Computer ist in Hacker-Hand.

Gestern erhielt ich eine Email einer großen Anwaltskanzlei, im Anhang war eine Unterlassungserklärung die ich sofort unterschreiben und zurücksenden müsste. Natürlich war es ein getarnter Virus. Diese Email wurde aber tatsächlich über den SMTP-Server der Kanzlei versendet. Also Obacht geben, einen guten Viren-Scanner mit aktuellen Viren-Signaturen einsetzen und natürlich eine gute Firewall benutzen, die verdächtige Aktivitäten aufdeckt.

Misstrauen ist wichtig

Ein gesundes Misstrauen gegenüber jeder Nachricht ist ein guter Schutz. Nicht einfach jeden Link anklicken der übermittelt wird. Neue Flash-Versionen oder Adobe Reader nur von der Hersteller-Seite herunterladen.

Ich überwache bei Servern die Protokoll-Dateien. Eine wiederholte Eingabe eines falschen Passwortes führt zur Sperrung der IP-Adresse für einen gewissen Zeitraum. Diese Technik ist kein Ersatz für starke Passwörter, diese Technik kann Brute Force-Attacken nicht verhindern oder unterbinden, – aber sie kann die Brute Force-Attacke verlangsamen. Für die meisten Hacker wird so ein Server dann auch uninteressant, da es ja genug potenzielle leichtere Opfer an anderer Stelle gibt.

Es herrscht Krieg

Es ist ein Krieg zwischen den “bösen Jungs” und den Server-Administratoren. Es ist ein ständiges Wettrüsten. Wenn man nicht am Ball bleibt, wird man durch eine neue Masche dann vielleicht doch zu einem Opfer.

Während ich diesen Artikel schreibe erhalte ich gerade eine Email von einen von mir verwalteten Kunden-Server. Die IP-Adresse XXX.XXX.XXX.XXX wurde nach X fehlerhaften Anmeldeversuchen für XXX Stunden blockiert. Schon wieder einer. Die gesperrte IP liegt im asiatischen Raum. Gerade am Wochenende werden Firmen-Server gezielt attackiert, da dann meist keiner arbeitet, und die Attacken so nicht so stark auffallen.

Mal sehen welche Nachrichten in den kommenden Tagen so eintrudeln. Wer an diesem Wochenende wieder Opfer einer Hacker-Attacke geworden ist.

Vielleicht fällt dabei auch ein neuer Kunde für mich ab.