De fleste hackere, som forsøger at bryde ind på bloggen med brute force, banker så hårdt på, at de er nemme at opdage. Andre er mere diskrete.
Mest for bloggere og andre web-snedkere.
Jeg tjekker jævnligt serverens logfiler for at følge den aktivitet, som ikke fremgår af de normale besøgsstatistikker, og dagligt er der båtnakker, som forsøger at bryde ind.
De ihærdige bruger et program, som prøver tusinder af gange med sekunders mellemrum, det man kalder ”brute force” angreb. Selvom deres chancer er mikroskopiske (her), er det irriterende, fordi angrebene belaster serveren.
Når det bliver mig for meget, blokerer jeg båtnakkens IP-adresse eller en hel gruppe af IP-adresser, hvis angrebet kommer fra en ormegård i Ukraine, Kina eller lignende.
På et tidspunkt bemærkede jeg et nyt mønster. Der kom 3-5 forsøg med et par sekunders mellemrum, dernæst en pause, og så 3-5 nye forsøg osv. Det nye var, at de 3-5 forsøg i rap kom fra forskellige IP-adresser og alle fra den amerikanske udbyder Dreamhost. I alt var der kun få forsøg fra hver adresse.
Det stod på i flere uger, og på den måde sprang angrebet ikke i øjnene, som når en IP-adresse prøver flere tusinde gange i rap, men det var for koordineret til at være tilfældigt.
Der blev brugt så mange IP-adresser, at en IP-blokering var helt urealistisk. Det skulle i givet fald være grupper af IP-adresser, som på det nærmeste ville formene hele Californien adgang.
Anmeldelsen
Hvad gør man så? Jeg skrev til Dreamhost og anmeldte misbruget.
Jeg fik hurtigt et høfligt svar. Fyren, Nate, skrev lidt kæphøjt, at de som regel selv opdagede den slags (underforstået: ”Faren er sikkert drevet over”), men da jeg så sendte ham en stribe IP-adresser og klokkeslæt logget selvsamme dag, tog han affære.
Dagen efter fik jeg flg. svar:
[…] Thank you. I ran through the list provided and, where I was able to locate outbound attacks, I disabled them. In all cases, the attacks originated from a site compromised via the customer’s insecure code. We’ve notified each customer what they need to do to clean and secure their sites against further such attacks. […]
Og det ser ud til at have virket. Der har ikke været angreb fra Dreamhost siden, og skulle det ske, tager Nate sikkert affære, når han får IP-adresserne.
Hackeren fik Nate ikke ram på, han er stadig derude, men det omfattende misbrug af andres sider på Dreamhost synes stoppet. For en stund i hvert fald.
I princippet burde man nok altid anmelde i stedet for bare at blokere IP-adressen, og selvom jeg tvivler på effekten af at skrive til Ukraine o.l., kan det komme an på en prøve.
/Eric
Jeg har hostet på min server herhjemme (langsom forbindelse, men so what – det er jo meget sjov at man kan) og jeg var nødt til at lukke ned for web-service mens jeg så TV på min workstation, ellers standsede forbindelsen med mellemrum.
Jeg bruger en firewall baseret på iptables (Linux Netfilter) og Rusty Russels 10-12 år gamle anvisninger, det fungerer ret godt, men som du siger prøver man at finde huller i webserverens opsætning eller i andre services, som man kører.
Det med selv at hoste må være sjovt, hvis man kan finde ud af det. Det kan jeg ikke, og der er for mange banditter derude, til at jeg vil prøve. 😎
Jeg er ret sikker på, at mit brugernavn og ikke mindst mit uhyre snedige password vil afholde brute force-angreb fra at bryde gennem min mur, men jeg ville gerne kunne finde ud af, hvordan jeg blokerer specifikke IP-adresser. Faktisk ville jeg allerførst gerne finde ud af, hvordan man ser, hvilke(n) IP-adresse(r), der har prøvet at komme ind! Og nu må du gerne grine hånligt 🙂
Det er skam ikke noget at grine af. Bloggere på WordPress.com har ikke adgang til FTP og næppe helle adgangsloggen. Så skal man se de besøgendes IP-adresser og evt. blokere dem, skal det være med et eller andet plugin, vil jeg tro. Du har en widget på din blog, som viser, hvor de aktuelle besøg kommer fra, og det kan kun være ved at slå IP-adressen op. Så adresserne er tilgængelige – de skal bare gøres synlige.
Jeg er simpelthen så bekymret for de der brute force attacks. Mit brugernavn er ikke admin og mit kodeord er helt umuligt at gætte, da det kommer fra en kodeordsgenerator, men alligevel er jeg bekymret, mest fordi jeg ikke aner, hvordan jeg skal rydde op, hvis det går galt.
Mht. brute force angreb på din WP-blog kan du sove roligt, du er godt beskyttet. Ikke kun med brugernavn og password, men også med det login-plugin, du bruger. Det kræver mange forgæves forsøg at bryde ind, og hvis det lykkes at ramme rigtigt med såvel brugernavn som password, vil plugin’et alligevel holde dem ude pga. “bad standing”.
Fortsat god ferie 🙂
Det er bl.a. på supporten, man skal kende sin udbyder, men hvad kan man forvente for 1 euro?
At holde sagerne opdateret er et must. Har man “Admin” som brugernavn, bør man ændre det. Langt de fleste brute force-hackere forsøger sig med “Admin”, så ved at vælge et andet brugernavn, har man mangedoblet sikkerheden mod indbrud gennem fordøren.
Så langt kommer jeg ikke. Mens jeg stadig var hos UnoEuro, lagde jeg mærke til en million milliard pludselige besøg fra en bestemt ip. Jeg skrev til UnoEuro, men de meddelte mig, at det ikke interesserede dem 🙁 Jeg holder WP med plugins opdateret, og håber så på det bedste.