Tag-arkiv: Brute force

Forbandede kinesiske hackere

Denne blog udsættes ofte for angreb af hackere, som forsøger at bryde ind med ”rå vold”. De seneste, mange angreb er kommet fra Kina.

indbrudstyvChancerne for at bryde ind er minimale, for der er sikkerhed på flere niveauer, men deres forsøg irriterer mig ad H til, fordi de belaster serveren, og fordi de på en eller anden måde fik fat i det rigtige brugernavn.

9 ud af 10 hackere prøver med WordPress’ standardbrugernavn, admin, og derfor ændrede jeg det til noget andet, så de skal knække både brugernavn og adgangskode.

Så gik det op for mig, at mange temaer (som bestemmer sidens udseende) faktisk røber brugernavnet i nogle sammenhænge. Det er dybt godnat, men sådan er det.

Det fik jeg stoppet ved at rette i PHP-koden, hvorefter jeg igen ændrede brugernavn til noget eksotisk, som er næsten lige så svært at bryde som adgangskoden.

Men man må lade de kinesiske banditter, at de kan deres kram: På en eller anden måde fik de også fat i det brugernavn. Jeg ved ikke hvordan.

Nu har jeg lavet det om nok en gang, så der nu er to roller: en administrator uden indlæg overhovedet og så en bruger med begrænsede rettigheder. Denne bruger står som forfatter til alle indlæg.

Så må vi se, om de får fat i administratorbrugernavnet, når det ikke står som forfatter til noget. Forfatterbrugernavnet med de begrænsede rettigheder kan de ikke bruge til så meget.

Som sagt er risikoen meget lille, bl.a. fordi jeg bruger et plugin, der reagerer på ”brute force-angreb” og formener dem adgang, hvis de skulle falde over den rigtige adgangskode. Skulle det ske, har jeg en ”reserveadministrator,” så jeg selv kan komme ind, men hvor er det irriterende.

Hvorfor de gør det? Svaret er til syvende og sidst penge. Får de kontrol over en side, kan de bruge den som platform til at inficere besøgende computere med spionprogrammer, til spam eller til koordinerede angreb på andre sider.

De er simple kriminelle med sofistikerede værktøjer, og det er en evig kamp mod det afskum.

Jeg har før skrevet om hackere og sikkerhed, og de indlæg kan du finde ved at søge på ”hackere” i bloggens søgefelt.

/Eric

Den diskrete hacker

De fleste hackere, som forsøger at bryde ind på bloggen med brute force, banker så hårdt på, at de er nemme at opdage. Andre er mere diskrete.

Mest for bloggere og andre web-snedkere.

Jeg tjekker jævnligt serverens logfiler for at følge den aktivitet, som ikke fremgår af de normale besøgsstatistikker, og dagligt er der båtnakker, som forsøger at bryde ind.

De ihærdige bruger et program, som prøver tusinder af gange med sekunders mellemrum, det man kalder ”brute force” angreb. Selvom deres chancer er mikroskopiske (her), er det irriterende, fordi angrebene belaster serveren.

Når det bliver mig for meget, blokerer jeg båtnakkens IP-adresse eller en hel gruppe af IP-adresser, hvis angrebet kommer fra en ormegård i Ukraine, Kina eller lignende.

På et tidspunkt bemærkede jeg et nyt mønster. Der kom 3-5 forsøg med et par sekunders mellemrum, dernæst en pause, og så 3-5 nye forsøg osv. Det nye var, at de 3-5 forsøg i rap kom fra forskellige IP-adresser og alle fra den amerikanske udbyder Dreamhost. I alt var der kun få forsøg fra hver adresse.

Det stod på i flere uger, og på den måde sprang angrebet ikke i øjnene, som når en IP-adresse prøver flere tusinde gange i rap, men det var for koordineret til at være tilfældigt.

Der blev brugt så mange IP-adresser, at en IP-blokering var helt urealistisk. Det skulle i givet fald være grupper af IP-adresser, som på det nærmeste ville formene hele Californien adgang.

Anmeldelsen

Læs resten