Guten Morgen,
hiermit möchte ich den Angriff auf einen Apache HTTP-Webserver vorstellen. Es handelt sich dabei nicht um einen normalen Server-Angriff, sondern um den harmlosen Versuch sich in die Plesk-Administrationsoberfläche als "admin" einzuloggen.
Es wird seit über 30 Tagen versucht sich auf den hiesigen Server einzuloggen auf dem unter anderem die Webseite des Cosirex Forum lokalisiert ist, und ebenso verwaltet wird.
Dazu habe ich das Server-Aktivitäten-Log als Anhang hochgeladen. Dort steht auch die zugehörige IP-Adresse, mit der die Angreifer versuchen sich auf dem Server einzuloggen, man kann sie auch Passwort Diebe nennen.
Jede Zeile steht hierbei für einen Versuch sich mit wechselnden Passwörtern im Adminpanel einzuwählen.
Die IP ist in Servage in Großbritannien lokalisiert, nachgeprüft auf der Webseite IP-AddressGuide.com.
Doch ist es nicht sicher ob der Angreifer tatsächlich aus Serverage in England kommt, oder sich einer Software bedient, die den realen Herkunftsort verschleiert, bzw verfälscht.
Zur Einwahl werden in der Regel verschiedene Proxy-Server verwendet, meist Socks 5, oder Socks 4, aber auch normale HTTP-Server, die über ein Programm mit dem Webserver verbunden werden und in Sekundenbruchteilen Passwörter abfragen.
Wobei der Intervall zwischen zwei Abfragen variabel eingestellt werden kann, habe ich in Dokumentationen im Internet gelesen.
Bei dem aktuellen Angriff auf unseren Server sind die Zeitabstände so groß, daß man entweder davon ausgehen kann, daß ganz einfach per Hand versucht wird sich mit verschiedenen Passwörtern einzuloggen, oder aber doch durch eine automatisierte Software, die Zeitabstände aber so gewählt sind, damit keine Schutzprogramme auf dem Server Alarm schlagen. Ebenfalls so breite Zeitabstände damit der Server grade nicht down geht, bzw sich selbständig runterfährt, um Schaden vorzubeugen.
Diese Proxy-Server ermöglichen die automatisierte Passworteingabe über Passwortlisten auf der Verwaltungsoberfläche eines Servers.
Um den Webserver zu schützen ist ein sicheres Passwort oberstes Gebot.
Das bedeutet ein Passwort zu verwenden, das sehr lang ist, Sonderzeichen (ASCII-Zeichen) wie @**'~, Groß- und Kleinschreibung, sowie Zahlen und Ziffern enthält.
Ebenfalls ist es ratsam alle paar Tage das Passwort zu wechseln, wenigstens solange bis den Angreifern die Lust vergeht.
Damit sind wir auf der sicheren Seite.
Ruhig schlafen kann man deshalb trotzdem.
Diese Angriffe geschehen leider jeden Tag millionenfach auf der Welt.
Wir lehnen uns zurück und warten bis der Sturm vorüber ist.
Viele Grüsse
