Min ven er strandet i England uden pas og penge og beder om hjælp. Ja, det skriver han i en e-mail, men hans Gmail-konto er hacket.
På Facebook kan jeg se, at jeg ikke er den eneste modtager. E-mailen er sendt fra hans Gmail-konto, og svaradressen er identisk, lige bortset fra at der mangler det lille ”g” foran ”mail.com”. Snedigt.
Det er en inderlig bøn om hjælp (jeg har ændret navnet til X): Læs resten
Jeg er på første etape af Vejgaards Alpe d’Huez, da telefonen ringer. ’Privat nr.’ står der i displayet. Jeg får fremprustet mit navn.
Man cykler ikke ustraffet op ad Alpe d’Huez med kun én hånd på styret, så jeg stopper lovlydigt. Da jeg ikke hører noget, siger jeg ”Hallo” et par gange, og så lyder det i den anden ende:
”Hello, I’m Ryan from Microsoft’s technical department.”
Trods det irsk-klingende navn sporer jeg en ganske svag indisk accent, og ”Ryan” blev udtalt ”Rye-Ann”.
Se, havde jeg nu siddet i en magelig stol derhjemme og ikke på en forpustet sadel på Alpe d’Huez’ første etape, havde jeg måske ladet ham løbe linen ud, indtil han ville have adgang til min computer, og så spurgt, om de ikke snart skal finde på et nyt svindelnummer.
Det er jo ikke hver dag, man bliver ringet op af en svindler, og jeg øger med glæde deres tabskonto. Det kan jo ikke være helt billigt at ringe fra Indien, eller hvor de nu ringer fra,
Men da jeg stadig mangler det meste af Alpe d’Huez, og pulsen er høj, siger jeg bare:
”Yah, and I’m Bill Gates” og slukker.
Så har man prøvet det. Det er skidt at miste momentum på Alpe d’Huez.
/Eric
De fleste hackere, som forsøger at bryde ind på bloggen med brute force, banker så hårdt på, at de er nemme at opdage. Andre er mere diskrete.
Mest for bloggere og andre web-snedkere.
Jeg tjekker jævnligt serverens logfiler for at følge den aktivitet, som ikke fremgår af de normale besøgsstatistikker, og dagligt er der båtnakker, som forsøger at bryde ind.
De ihærdige bruger et program, som prøver tusinder af gange med sekunders mellemrum, det man kalder ”brute force” angreb. Selvom deres chancer er mikroskopiske (her), er det irriterende, fordi angrebene belaster serveren.
Når det bliver mig for meget, blokerer jeg båtnakkens IP-adresse eller en hel gruppe af IP-adresser, hvis angrebet kommer fra en ormegård i Ukraine, Kina eller lignende.
På et tidspunkt bemærkede jeg et nyt mønster. Der kom 3-5 forsøg med et par sekunders mellemrum, dernæst en pause, og så 3-5 nye forsøg osv. Det nye var, at de 3-5 forsøg i rap kom fra forskellige IP-adresser og alle fra den amerikanske udbyder Dreamhost. I alt var der kun få forsøg fra hver adresse.
Det stod på i flere uger, og på den måde sprang angrebet ikke i øjnene, som når en IP-adresse prøver flere tusinde gange i rap, men det var for koordineret til at være tilfældigt.
Der blev brugt så mange IP-adresser, at en IP-blokering var helt urealistisk. Det skulle i givet fald være grupper af IP-adresser, som på det nærmeste ville formene hele Californien adgang.