{"id":11358,"date":"2013-08-25T13:12:19","date_gmt":"2013-08-25T11:12:19","guid":{"rendered":"http:\/\/\/\/sitestory.dk\/wordpress\/?p=11358"},"modified":"2015-11-30T16:29:29","modified_gmt":"2015-11-30T15:29:29","slug":"den-diskrete-hacker","status":"publish","type":"post","link":"https:\/\/sitestory.dk\/wordpress\/2013\/08\/25\/den-diskrete-hacker\/","title":{"rendered":"Den diskrete hacker"},"content":{"rendered":"<p><strong>De fleste hackere, som fors\u00f8ger at bryde ind p\u00e5 bloggen med brute force, banker s\u00e5 h\u00e5rdt p\u00e5, at de er nemme at opdage. Andre er mere diskrete.<\/strong><\/p>\n<p>Mest for bloggere og andre web-snedkere.<\/p>\n<p>Jeg tjekker j\u00e6vnligt serverens logfiler for at f\u00f8lge den aktivitet, som ikke fremg\u00e5r af de normale bes\u00f8gsstatistikker, og dagligt er der b\u00e5tnakker, som fors\u00f8ger at bryde ind.<\/p>\n<p>De ih\u00e6rdige bruger et program, som pr\u00f8ver tusinder af gange med sekunders mellemrum, det man kalder \u201dbrute force\u201d angreb. Selvom deres chancer er mikroskopiske (her), er det irriterende, fordi angrebene belaster serveren.<\/p>\n<p>N\u00e5r det bliver mig for meget, blokerer jeg b\u00e5tnakkens IP-adresse eller en hel gruppe af IP-adresser, hvis angrebet kommer fra en ormeg\u00e5rd i Ukraine, Kina eller lignende.<\/p>\n<p>P\u00e5 et tidspunkt bem\u00e6rkede jeg et nyt m\u00f8nster. Der kom 3-5 fors\u00f8g med et par sekunders mellemrum, dern\u00e6st en pause, og s\u00e5 3-5 nye fors\u00f8g osv. Det nye var, at de 3-5 fors\u00f8g i rap kom fra forskellige IP-adresser og alle fra den amerikanske udbyder Dreamhost. I alt var der kun f\u00e5 fors\u00f8g fra hver adresse.<\/p>\n<p>Det stod p\u00e5 i flere uger, og p\u00e5 den m\u00e5de sprang angrebet ikke i \u00f8jnene, som n\u00e5r en IP-adresse pr\u00f8ver flere tusinde gange i rap, men det var for koordineret til at v\u00e6re tilf\u00e6ldigt.<\/p>\n<p>Der blev brugt s\u00e5 mange IP-adresser, at en IP-blokering var helt urealistisk. Det skulle i givet fald v\u00e6re grupper af IP-adresser, som p\u00e5 det n\u00e6rmeste ville formene hele Californien adgang.<\/p>\n<h2>Anmeldelsen<\/h2>\n<p><!--more-->Hvad g\u00f8r man s\u00e5? Jeg skrev til Dreamhost og anmeldte misbruget.<\/p>\n<p>Jeg fik hurtigt et h\u00f8fligt svar. Fyren, Nate, skrev lidt k\u00e6ph\u00f8jt, at de som regel selv opdagede den slags (underforst\u00e5et: \u201dFaren er sikkert drevet over\u201d), men da jeg s\u00e5 sendte ham en stribe IP-adresser og klokkesl\u00e6t logget selvsamme dag, tog han aff\u00e6re.<\/p>\n<p>Dagen efter fik jeg flg. svar:<\/p>\n<p style=\"padding-left: 30px;\">[\u2026] Thank you. I ran through the list provided and, where I was able to locate outbound attacks, I disabled them. In all cases, the attacks originated from a site compromised via the customer&#8217;s insecure code. We&#8217;ve notified each customer what they need to do to clean and secure their sites against further such attacks. [\u2026]<\/p>\n<p>Og det ser ud til at have virket. Der har ikke v\u00e6ret angreb fra Dreamhost siden, og skulle det ske, tager Nate sikkert aff\u00e6re, n\u00e5r han f\u00e5r IP-adresserne.<\/p>\n<p>Hackeren fik Nate ikke ram p\u00e5, han er stadig derude, men det omfattende misbrug af andres sider p\u00e5 Dreamhost synes stoppet. For en stund i hvert fald.<\/p>\n<p>I princippet burde man nok altid anmelde i stedet for bare at blokere IP-adressen, og selvom jeg tvivler p\u00e5 effekten af at skrive til Ukraine o.l., kan det komme an p\u00e5 en pr\u00f8ve.<\/p>\n<p>\/Eric<\/p>\n","protected":false},"excerpt":{"rendered":"<p>De fleste hackere, som fors\u00f8ger at bryde ind p\u00e5 bloggen med brute force, banker s\u00e5 h\u00e5rdt p\u00e5, at de er nemme at opdage. Andre er mere diskrete. (&#8230;) P\u00e5 et tidspunkt bem\u00e6rkede jeg et nyt m\u00f8nster. Der kom 3-5 fors\u00f8g med et par sekunders mellemrum, dern\u00e6st en pause, og s\u00e5 3-5 nye fors\u00f8g osv. Det nye var, at de 3-5 fors\u00f8g i rap kom fra forskellige IP-adresser og alle fra den amerikanske udbyder, Dreamhost. I alt var der kun f\u00e5 fors\u00f8g fra hver adresse. Det stod p\u00e5 i flere uger, og p\u00e5 den m\u00e5de sprang angrebet ikke i \u00f8jnene, som n\u00e5r en IP-adresse pr\u00f8ver flere tusinde gange i rap, men det var for koordineret til at v\u00e6re tilf\u00e6ldigt. (&#8230;)<\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[2451,2579,2455],"class_list":["post-11358","post","type-post","status-publish","format-standard","hentry","category-it-internet","tag-brute-force","tag-hacker","tag-ip"],"_links":{"self":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts\/11358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/comments?post=11358"}],"version-history":[{"count":1,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts\/11358\/revisions"}],"predecessor-version":[{"id":14325,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts\/11358\/revisions\/14325"}],"wp:attachment":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/media?parent=11358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/categories?post=11358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/tags?post=11358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}