Dokumentation von einem Angriff auf den Server

  • Guten Morgen,
    hiermit möchte ich den Angriff auf einen Apache HTTP-Webserver vorstellen. Es handelt sich dabei nicht um einen normalen Server-Angriff, sondern um den harmlosen Versuch sich in die Plesk-AdministrationsoberflÀche als "admin" einzuloggen.
    Es wird seit ĂŒber 30 Tagen versucht sich auf den hiesigen Server einzuloggen auf dem unter anderem die Webseite des Cosirex Forum lokalisiert ist, und ebenso verwaltet wird.
    Dazu habe ich das Server-AktivitÀten-Log als Anhang hochgeladen. Dort steht auch die zugehörige IP-Adresse, mit der die Angreifer versuchen sich auf dem Server einzuloggen, man kann sie auch Passwort Diebe nennen.
    Jede Zeile steht hierbei fĂŒr einen Versuch sich mit wechselnden Passwörtern im Adminpanel einzuwĂ€hlen.
    Die IP ist in Servage in Großbritannien lokalisiert, nachgeprĂŒft auf der Webseite IP-AddressGuide.com.
    Doch ist es nicht sicher ob der Angreifer tatsÀchlich aus Serverage in England kommt, oder sich einer Software bedient, die den realen Herkunftsort verschleiert, bzw verfÀlscht.
    Zur Einwahl werden in der Regel verschiedene Proxy-Server verwendet, meist Socks 5, oder Socks 4, aber auch normale HTTP-Server, die ĂŒber ein Programm mit dem Webserver verbunden werden und in Sekundenbruchteilen Passwörter abfragen.
    Wobei der Intervall zwischen zwei Abfragen variabel eingestellt werden kann, habe ich in Dokumentationen im Internet gelesen.
    Bei dem aktuellen Angriff auf unseren Server sind die ZeitabstĂ€nde so groß, daß man entweder davon ausgehen kann, daß ganz einfach per Hand versucht wird sich mit verschiedenen Passwörtern einzuloggen, oder aber doch durch eine automatisierte Software, die ZeitabstĂ€nde aber so gewĂ€hlt sind, damit keine Schutzprogramme auf dem Server Alarm schlagen. Ebenfalls so breite ZeitabstĂ€nde damit der Server grade nicht down geht, bzw sich selbstĂ€ndig runterfĂ€hrt, um Schaden vorzubeugen.
    Diese Proxy-Server ermöglichen die automatisierte Passworteingabe ĂŒber Passwortlisten auf der VerwaltungsoberflĂ€che eines Servers.
    Um den Webserver zu schĂŒtzen ist ein sicheres Passwort oberstes Gebot.
    Das bedeutet ein Passwort zu verwenden, das sehr lang ist, Sonderzeichen (ASCII-Zeichen) wie @**'~, Groß- und Kleinschreibung, sowie Zahlen und Ziffern enthĂ€lt.
    Ebenfalls ist es ratsam alle paar Tage das Passwort zu wechseln, wenigstens solange bis den Angreifern die Lust vergeht.
    Damit sind wir auf der sicheren Seite.
    Ruhig schlafen kann man deshalb trotzdem.
    Diese Angriffe geschehen leider jeden Tag millionenfach auf der Welt.
    Wir lehnen uns zurĂŒck und warten bis der Sturm vorĂŒber ist.
    Viele GrĂŒsse