Ansichten eines Informatikers

Doch ein gezielter (politischer) Angriff gegen mein Blog?

Hadmut
5.6.2010 15:08

Kurz nachdem ich den Artikel mit meiner Vermutung über den Rücktritt Horst Köhlers geschrieben hatte, ging der Webserver – zum ersten Mal in 8 Jahren – in die Knie, nachdem tagsüber schon von verschiedenen Quellen deutliche Angriffsversuche und ein Absuchen nach Sicherheitslücken zu bemerken war (was zunächst mal nicht übermässig viel zu sagen hat, auf jeder IP-Adresse im freien Internet prasseln täglich, stündlich, minütlich Angriffsversuche ein. Beispielsweise gab es mal wieder einen ausgiebigen Port-Scan aus China. Das machen die gerne dort. Irgendwer in China (oder genauer gesagt, irgendwer mit IP-Adressen aus China) überwacht sehr genau, welche Ports im Internet wo offenstehen. Das dürfte eher ein Zufall gewesen sein. Einige andere Angriffsversuche kamen aber aus Deutschland, und zwar konzertiert und verteilt. Und das ist so ziemlich selten zu beobachten.

Aber nun lest mal das da. Die TAZ berichtet davon, daß auch eine andere Webseite über Horst Köhler – zwar mit anderen Mitteln, aber nicht weniger dubios – außer Gefecht gesetzt worden sei.

Steckt doch mehr dahinter?

5 Kommentare (RSS-Feed)

nadar
5.6.2010 18:22
Kommentarlink

Könntest du die Inhaber der deutschen IP-Adressen nicht wegen Computersabotage (oder worunter der Angriff fällt) anzeigen? Wäre doch interessant zu sehen, was dann (nicht) passiert.


Hadmut
5.6.2010 19:11
Kommentarlink

Jain. Ich kann (noch) keinen unmittelbaren Zusammenhang mit der tatsächlichen Störung nachweisen. Zudem hatte ich diese Problematik ja erst kürzlich. Das ist noch nicht rechtlich abgeschlossen.

Zwar waren das hier in diesem Fall eher statische Adressen (muß ich noch genauer checken), aber das bestätigt mal wieder mein Argument, daß die Vorratsdatenspeicherung nicht nur böser Staat gegen armen Bürger und damit schlecht ist, sondern daß sie umgekehrt auch dem Bürger gegen staatliche Übergriffe hilft.


wonderland
5.6.2010 22:39
Kommentarlink

Könnte es nicht einfach auch daran gelegen haben — das mit dem in die Knie gehen –, daß fefe auf Dich verlinkt hat?


Hadmut
5.6.2010 23:08
Kommentarlink

Nein.

Erstens überschätzt Ihr alle die Belastung durch eine Verlinkung auf Fefes Blog enorm. Der ist nicht der große Plattmacher, wie manche vermuten. Er hat ja auch nicht erst abens um kurz vor zehn verlinkt, sondern gegen 17.00 Uhr. Da Artikel war aber schon tagsüber durch Twitter, Facebook und andere Blogs stärker verlinkt.

Die Überwachung der Maschine zeigt, daß die Maschine trotzdem den ganzen Tag über völlig locker und mit konstanter Auslastung, die noch genügend Luft ließ, bis etwa 21.40 gearbeitet hat und dann in kürzester Zeit der Speicherbedarf des Webservers bis zum Anschlag angestiegen ist. Nach einem Reboot etwas später ist er sogar noch schneller, innerhalb von Sekunden bis zum Anschlag hochgegangen, obwohl es schon gegen 23.00 Uhr war. Zu beiden Zeitpunkten lagen nicht mehr so viele Zugriffe vor, das war abends nicht mehr besonders.

Es ist – für mich – nicht nachvollziehbar, warum die Maschine den ganzen Tag den Anfragen problemlos standgehalten hat, sich aber abends, wenn der Ansturm schon wieder nachläßt, zweimal, davon einmal in kurzer und dann in kürzester Zeit steil aufschaukeln sollte. Die Apache-Version war leider nicht ganz auf dem aktuellsten Stand, weil wir auch nicht jeden Tag zum upgraden kommen. Es waren aber einige Sicherheitsprobleme mit Denial-of-Service-Angriffen für diese Version bekannt, auch wenn die nicht ganz auf das Muster passen.

Außerdem wurde ich schon öfter auf Heise Newsticker und Fefe verlinkt, und das hat die Maschine bisher immer locker gepackt. Diese Symptome sind zum ersten Mal in 8 Jahren aufgetaucht.

Ich habe danach den Server identisch auf eine virtuelle Maschine umkopiert, nur den Apachen entsprechend aktualisiert, die objektiv schwächer als die eingesetzte Maschine ist und sogar weniger RAM hatte. Obwohl auch am Donnerstag ein hoher Ansturm war, hat die virtuelle Maschine dies völlig problemlos bewältigt, obwohl sie zusätzlich alle Daten durch einen verschlüsselten Tunnel schicken mußte.

Zudem hatte ich in den Server Logs einige Fehlermeldungen, auf die ich hier nicht näher eingehen möchte, die auf Angriffe auf PHP und WordPress zurückgehen und durch normale Webzugriffe nicht möglich sind. Es gibt definitiv mindestens eine signifikante Sicherheitslücke im aktuellen WordPress, und an diesem Tag hat jemand systematisch den Tag über die Maschine auf Schwächen untersucht, einige ältere (nicht mehr bestehende) Lücken ausprobiert und dabei diese offenbar noch existierende Lücke gefunden. Macht insgesamt schon zwei potentielle Angriffsziele, Apache und WordPress.

Wie gesagt, wir bereiten drastischere Maßnahmen vor. WordPress fliegt bei mir so bald wie möglich, hoffentlich demnächst, raus.


grisu
6.6.2010 9:15
Kommentarlink

Wenn dem Staatsapparat die dargeboten Informationen nicht passen, aber rechtlich keine Handhabe besteht, kann es schonmal passieren das “Dienste” den Server weghacken. 😉

Bei sehr kritischen Informationen, die sie am liebsten sofort loswerden wollen, oder wo der Hoster im Ausland sitzt, kann das schonmal passieren. Das habe ich selber schon bei einem meiner Kommentare bei http://www.dergeopolitiker.net erlebt.(die Seite ist immer noch platt, schon seit 6-9 Monaten)

Zumindest war bzw. ist das für mich die einzige sinnvolle Erklärung. Falls du es mal ausprobieren möchtest mail mich an, ich schreib dir dann welche Informationen in deinen Artikel unbedingt rein sollten. :-))