Skip to content

Brute-Force-Angriffe gegen Paßworte

Wer zum Netz hin Dienste anbietet - SMTP, HTTP, NNTP, SSH, … -, kennt das Problem: irgendjemand versuchtimmer gerade, Paßworte zu erraten, Schwachstellen in gebräuchlichen (aber konkret gar nicht installierten) Webapplikationen auszunutzen oder sonstigen Unfug zu betreiben. Bereits vor Jahren war es üblich, Brute-Force-Angriffe gegen SSH-Paßworte zu fahren; nachdem auf den meisten Systemen ein Login ohnehin nur noch mit SSH-Key möglich ist, nicht mehr mit Paßwort, war das größte Ärgernis daran das vollgemüllte Logfile; dagegen half es, den SSH-Dienst schlicht auf einem anderen als dem gewöhnlichen Port anzubieten. Das ist natürlich kein Sicherheits-Feature, weil durch einen simplen Portscan feststellbar, aber durchaus bequem. Irgendwann hatte ich das noch um fail2ban ergänzt, nachdem ein besonders hartnäckiges (offenbar geknacktes) System tagelang auf dem richtigen Port versuchte, nicht vorhandene Paßworte durchzuprobieren, und der Provider auf E-Mails nicht reagierte. Ansonsten war es aber immer einigermaßen ruhig an dieser Front.

In den letzten Tagen und Wochen hat sich das dann doch geändert. Angefangen hat es bereits in den letzten Juni-Wochen mit Brute-Force-Angriffen gegen SMTP-Auth-Paßworte, die tagelang offensichtlich von einem Botnetz aus liefen (Zugriffe von einer gut dreistelligen Anzahl von IPs, ständig wechselnd) und dabei immerhin auf einem Host einen Konfigurationsfehler aufdeckten, der es tatsächlich kurzfristig erlaubte, vier oder fünf Mails zu versenden. Danach lief derselbe Versuch dann auch bei anderen Maschinen beim selben Hostinganbieter und danach bei Maschinen bei einem anderen Hoster, während ich mit fail2ban dann hinterherkonfiguriert habe; sinnvoll ist das dann nur, wenn man die Ban-Zeiten ausreichend hoch ansetzt. Sperren für 10 oder 15 Minuten bringen nur wenig, weil man dann immer noch alle 10 oder 15 Minuten entsprechende Versuche im Logfile hat; zielführend scheinen da eher Zeiten im Stundenbereich zu sein.

Als es sich an der SMTP-Front beruhigte, waren dann plötzlich Brute-Force-Angriffe gegen SSH dran (und zwar offensichtlich nach einem Portscan, nämlich gegen den richtigen Port): erst auf den Maschinen beim einen Hoster, dann, einige Tage später, bei den Maschinen beim anderen Hoster. Irgendjemand macht sich also derzeit die Mühe, systematisch die IP-Bereiche großer Anbieter von Mietservern durchzugehen, Portscans laufen zu lassen und dann gezielt Angriffe gegen die angebotenen Dienste zu starten. Insgesamt keine neue Sache, aber die Intensität ist zumindest in diesem Bereich für mich neu.

Man darf wohl davon ausgehen: besser wird es nicht mehr …

More Apps

Vor einem knappen Vierteljahr habe ich von den Apps auf meinem Smartphone berichtet. Mittlerweile sind einige kleine Helfer hinzugekommen:

Kommunikation

Hier habe ich mit Groundhog inzwischen einen Newsreader ergänzt, der sich ganz gut anläßt. Sehr schön gelöst ist das Zitieren: für jeden Absatz kann man wählen, ob er zitiert werden soll oder nicht, das erleichtert die Angelegenheit deutlich, weil das Markieren größerer Textteile sonst ja nicht so wirklich handlich funktioniert. Dafür ist der Zeilenumbruch sein schwacher Punkt, und SSL kann er leider auch nicht. Etwas besseres habe ich allerdings noch nicht gesehen.

hilfreiche Tools

  • Rote Liste ("Medikamente") - Sehr praktisch, wenn man mal ein Medikament nachschlagen oder zu einem Wirkstoff die Handelsnamen finden will! Benutzerfreundlich gelöst.
  • AK Notepad - Naja, für Notizen zwischendurch … So richtig überzeugt bin ich allerdings noch nicht. Kennt jemand eine bessere Applikation für simple Notizen?
  • Zeiterfassung - Anwenderfreundliche Lösung, um zu erfassen, wann man - für welches Projekt - etwas tut. Verschiedene Tätigkeiten, Ein-/Ausstempeln "jetzt" oder zu einem bestimmten Zeitpunkt, automatische Pausenfunktion, Sollzeiten, Stundensätze.

Navigation

  • GoTraffic - Aktuelle Verkehrsmeldungen für den deutschsprachigen Raum, auswählbar nach Gebiet, Umkreis oder Straßenbezeichnung (Autobahn / Bundesstraße).

Spiele

Motiviert von Thomas Hühns Beitrag zu dem Thema habe ich mich auch einmal auf die Suche gemacht und Blow Up, Uniwar und Age of Conquest ergänzt. Die beiden erstgenannten habe ich noch nicht wirklich intensiv genutzt, aber das letztgenannte, so etwas wie eine aufgemotzte Risiko-Variante, hat sich zum wahren Suchtfaktor entwickelt.

Und, wie immer: Wenn jemand Kommentare u.v.a Vorschläge für weitere interessante Apps hat, die auf Android-Systemen laufen: Imme rnur her damit!