Erfahrungsbericht: Hacker greifen wahllos Server im Netz an
Sobald wir einen Server ins Netz stellen, installieren wir das Schutz-Programm Fail2ban. Fail2ban ist eine Software zur Preventation von Cyberattacken, das Hacker-Angriffe nach bestimmten Regeln erkennt und die IP-Adresse, von der der Angriffsversuch erfolgt, sperrt.
Von dieser gesperrten IP-Adresse ist ein Verbindungsaufbau zu diesem geschützten Server nicht mehr möglich, sobald Fail2ban den Angriff erkennt.
Das Erstaunliche ist: Jeder Server im Netz wird von der ersten Minute an angegriffen – ohne dass ihn eine Suchmaschine kennt
Sobald wir Fail2ban aktivieren, werden Angriffe erkannt und abgewehrt. Dies ist bemerkenswert: Der Server ist ja noch bei keiner Suchmaschine bekannt! Dennoch registriert Fail2ban beinahe von der ersten Sekunde an Hackerangriffe. Wie ist das möglich?
Hier ist der Satz, den ich immer wieder meinen Kunden aufsage: Hacker interessieren sich oft nicht für eine bestimmte Firma. Sie suchen einfach nach Servern, die wenig oder gsar nicht geschützt sind. Sie wollen dort eindringen und diese Server für ihre kriminellen Handlungen missbrauchen. Hacker probieren wahllos mit einfachen Scanner-Programmen IP-Adressen aus. Mit diesen Scannerprogrammen erkennen sie, welche Software – mit welchen Schwachstellen – auf einem Server installiert ist.
Hacker scannen wahllos IP-Adressen nach Schwachstellen
Da IP-Adressen einfache Nummern sind – ähnlich Telefonnummern – kann man sie erraten und ausprobieren. Voila!
Und dies machen Cyberkriminelle einfach. Sie versuchen zuerst, einen Zugang über eine SSH-Verbindung zu erlangen. Über einen SSH-Zugang lassen sich, wenn ein Administrator-Zugang mit Passwort geknackt wurde, Server fernsteuern und manipulieren. Damit kann ein Hacker den Server bedienen und eigene Software installieren.
Ganz zu Beginn unserer Tätigkeit waren wir erstaunt, dass Fail2ban innerhalb kürzester Zeit mehrere tausend IP-Adressen blockierte, die einen Angriff auf den SSH-Port versuchten. Bei jedem Angriff wurden wahllos Benutzernamen und Passwörter ausprobiert.
Hacker arbeiten in organisierten Banden. Angriffe erfolgen zeitgleich von vielen Servern aus. Damit können viele Benutzer- und Passwort-Kombinationen in kürzester Zeit ausprobiert werden. Die heutige Rechnerleistung und ein schnelles Internet führen damit auch häufig zum Erfolg.
Angriffe erfolgen zeitgleich von vielen Servern aus
Wir fanden bald heraus, dass es eine einfache Möglichkeit gibt, diese Angriffe zu unterbinden. Die Standard-Portnummer für einen SSH-Verbindung ist 22. Doch diese Nummer kann und sollte vom Server-Administrator auf eine beliebige andere Nummer umgeleitet werden. Dafür muss nur die Portnummer in einer Konfigurationsdatei geändert werden.
Nachdem wir die Portnummer auf unserem Server geändert hatten, waren wir erstaunt, wie wirksam diese einfache Änderung war: In kürzester Zeit verringerte sich die Anzahl der von Fail2ban registrierten und “gebannten” IP-Adressen auf weniger als 50. Die jetzt noch registrierten Angriffe bezogen sich auf andere Serverdienste, die ebenfalls geschützt werden müssen. Diese Dienste versprechen jedoch weniger Möglichkeiten für Hacker, Schaden anzurichten. Deshalb sind die Angriffszahlen hier auch nicht so hoch