Ich hatte gestern Nachmittag eine Brute Force Attacke gegen meine Webseite. Da wollte jemand unbedingt Zugang zur Verwaltungskonsole haben. Bei WordPress heißt das Ganze ja Dashboard. Und solche Attacken laufen eigentlich immer nach dem Motto ab, dass der Angreifer versucht, mit dem Benutzer „admin“ auf das Dashboard der Seite zuzugreifen. Leute, das ist doch kalter Kaffee. Aber ich schreibe trotzdem mal was auf.
Ich habe bei mir das Tool „Login Security Solution“ im Einsatz. Das habe ich so eingestellt, dass man nicht ewig angemeldet sein kann. Und das meldet mir Angriffe per Email und sperrt die Angreifer aus. Wenn so etwas passiert, erhalte ich eine Email mit folgendem Inhalt:
ATTACKE IST GEGEN Henning Uhle GERICHTET?
Wow! So ein schlimmer Titel der Email. Wer da nicht panisch wird, dem ist nicht zu helfen, oder? Nein, Quatsch, natürlich muss man da sofort nachschauen, was da los ist. Und in der Email steht:
Ihre Webseite, Henning Uhle, steht unter einer Brute Force Attacke.
Es wurden mindestens 10 fehlgeschlagene Loginversuche innerhalb der letzten 120 Minuten registriert, die eine oder mehrere der folgenden Komponenten enthielten:
Component Count Value from Current Attempt
———————— —– ——————————–
Netzwerk IP 10 52.25.44.*
Benutzername 10 admin
Passwort MD5 1 7c7b241b121c257c509a828e973ccf2a
OK, und hier haben wir den Fehler. Wer benutzt denn heute noch den Benutzer „admin“ für WordPress? Es gab genügend Warnungen, dies nicht mehr zu tun. Aber es gibt immernoch ganz helle Köpfe, die denken, dass es den Benutzer immernoch gibt. Dazu werden dann Passwort-Listen ausprobiert, in der Hoffnung, das richtige Passwort zu finden. Das ist Brute Force.
Nein, Leute, bei mir gibt es keinen „admin“. Ihr könnt euch das Alles sparen. Denkt euch mal was anderes aus. Aber was rede ich hier eigentlich, die wissen wahrscheinlich gar nicht, dass ich so etwas sehr wohl registriere.
Jedenfalls steht da noch eine IP-Adresse dabei. In dem oben gezeigten Auszug ist sie nicht vollständig zu sehen. Jedenfalls kann man mal schauen, welcher Rechnername dahinter steht. Das macht man praktischerweise mit
nslookup 52.25.44.61
Ooops, jetzt habe ich ja die komplette IP-Adresse genannt. Naja, egal. Jedenfalls stößt man da auf eine virtuelle Maschine, die bei „Amazon Web Services“ gehostet wird. Was habe ich gemacht? Ich habe ein so genanntes Abuse-Formular bei Amazon Web Services ausgefüllt. Man darf ja nicht denken, dass sich jeder Webmaster solche Brute Force Attacken gefallen lässt. Klar, es wird nichts heraus kommen, da bin ich mir ziemlich sicher. Und zusätzlich hierzu kann man ja in der Datei „.htaccess“ den Zugriff verbieten.
Jedenfalls scheint „Login Security Solution“ zu funktionieren. Ich habe mir gedacht, dass ich vielleicht immer wieder von solchen Attacken berichte. Wer weiß, vielleicht spricht sich das ja herum, sodass dann vielleicht IP-Adresslisten gepflegt werden können, um solche Dinge gleich global zu blockieren.