Hol Dir jetzt die neue kino.de App     Deutschland geht ins kino.de

Was nach dem Brute Force-Angriff auf 1&1 zurückbleibt

Marco Kratzenberg
14

Wer heute wie gewohnt durchs Internet gleiten will, wird derzeit sicher ab und zu ins Stolpern kommen. Eine massive Hackerattacke legt die Rechencenter des Provider-Riesen 1&1 lahm und sorgt dafür, dass die Webseiten von rund zwölf Millionen Kunden nicht oder nur sporadisch erreichbar sind.

Erst vor kurzem haben wir von so einer Attacke berichtet, bei der ein Antispamservice in die Knie gezwungen werden sollte. Wer hinter dem aktuellen Angriff steckt, ist ebenso unklar, wie die dahintersteckende Motivation. Oft erfolgen solche Attacken, um jemanden zu blockieren, der eine andere Meinung hat. Gerade im nahen Osten werden solche Angriffe gerne von religiös oder politisch motivierten Gruppen durchgeführt, um Kritiker mundtot zu machen.

Auch die Hackergruppe Anonymus nutzt dieses Mittel immer wieder, um Webseiten oder Provider zu bestrafen. Zurzeit versucht die Gruppe in den USA sogar zu erreichen, dass DDOS-Attacken als legitime Form des Protestes anerkannt und legal werden.

Das alles mag der Fall sein, wenn Hacker eine einzelne Webseite über Tage massiv angreifen, wie z.B. im letzten Sommer die Seiten von Steam, Whatsapp oder des Deutschen Darwinpreises. Aber wenn eine ganze Serverstruktur unter Dauerfeuer steht, sieht die Sache schon ganz anders aus.

DDOS-Angriff zum Datendiebstahl?

Die Motive der aktuellen Angreifer sind nicht klar. Sicher ist nur, dass die Kunden von 1&1 ihre eigenen Webseiten nicht erreichen können, weder im Browser, noch über FTP. Auch wenn es zwischenzeitlich immer wieder mal funktioniert, kann noch keine Entwarnung gegeben werden.

In solchen Fällen geht es mit Sicherheit nicht um politische Ziele. Wirtschaftliche Interessen sind möglich, vielleicht will aber auch nur eine Gruppe mal ausprobieren, welche Macht sie hat. Und dann gibt es immer noch den Trick der Ablenkung durch DDOS Fluten: Während sich ein ganzes Administratorenteam darum kümmert, das System wiederherzustellen, werden Firewalls außer Kraft gesetzt und Stück für Stück dringen die Angreifer in die Server ein, um sich dort brisante Daten zu stehlen.

Lösung in Sicht?

Kunden des Anbieters wurden heute morgen vom Support informiert, dass die Sicherheitsabteilung bereits an dem Fall arbeitet und man hofft, bald wieder störungsfreien Service bieten zu können.

1&1 Twitter

Was da eigentlich passiert ist, wer dahintersteckt und welche Gründe das alles hatte, wird wohl niemals mit Sicherheit herauskommen. Aus jeder solcher Attacken lernen die Provider beim Aufräumen etwas neues und wappnen sich gegen ähnliche Angriffe – bis der nächste erfolgt.

Update

Mittlerweile hat 1&1 das Problem gut in den Griff bekommen. Von Problemen ist sowohl auf Nutzerseite, als auch auf Seiten der Webseiteneigner nichts mehr zu merken.

Laut Auskunft von Andreas Maurer (Head of Social Media at 1&1 Internet) und einer entsprechenden Support-Webseite handelt es sich bei dem Angriff nicht um eine DDOS-Attacke, sondern um einen Brute Force-Angriff, mit dem besonders Joomla- und WordPress-Systeme auf Schwächen abgeklopft werden sollten.

Es ging den Angreifern darum, in diese Systeme Schadcode einzufügen, was immer wieder mal passiert. Dabei werden dann mit verschiedenen Skripten automatisiert bestimmte Bereiche der CMS-Systeme aufgerufen um zu prüfen, ob man dort eindringen kann.

In letzter Zeit haben sich diese Angriffe speziell auf WordPress gehäuft. Dabei wurde immer wieder – oft über Stunden – versucht, als gefälschter Bing-Bot, in das Backend von WordPress einzudringen. In der Regel sind solche Versuche erfolglos, wenn das CMS ständig aktualisiert wird.

 

Update und Stand der Dinge – 19.4.2013

Auch wenn einzelne Kunden noch von Problemen berichten, ist die große Angriffswelle wohl vorbei. Was mit einzelnen, sinnlos erscheinenden Dauerabfragen von wp-login.php begann, wuchs sich dann zur Großattacke eines Botnetzes mit vermutlich über 90.000 beteiligten Bots aus.

Wie u.a. bei webhostlist.de nachzulesen ist, waren daran die Server verschiedener deutscher Webhoster beteiligt. Ich selbst konnte beispielsweise die IP eines Hosteurope-Servers dingfest machen, woraufhin der Support der Firma umgehend reagierte.

Wenn auch erst noch von einem gezielten Angriff auf 1&1-Server die Rede war, meldeten sich nach und nach auch andere deutsche Hoster und schließlich wurde die Welle zu einem internationalen Problem.

1&1 Pressesprecher Andreas Maurer hat mittlerweile auf einer Seite des Firmenblogs Tipps online gestellt, mit denen man sein Blog sicherer gegen Angriffe machen kann. Wesentlich effektiver ist in diesem Zusammenhang übrigens das WordPress Plugin “Limit Login Attempts“. Es ermöglicht dem Blogbetreiber, die Zahl der nacheinander erfolgenden Anmeldeversuche zu beschränken und danach die angreifende IP für einen gewissen Zeitraum zu sperren. Versucht der Angreifer es dann nochmal, so kann man den Sperrzeitraum auch deutlich heraufsetzen. Gleichzeitig warnt das System den Admin und protokolliert die Angriffe.

Passwortlisten-Angriff

Allen bisherigen Statusmeldungen zufolge handelt es sich nicht um einen besonders raffinierten Angriff und er wurde von speziellen Hacker-Skripten durchgeführt, die nicht mehr als stumpfes, spechtartiges “Klopfen an der Haustür” beherrschen. Im Sekundentakt versuchten die Programme ein Passwort nach dem anderen, begonnen bei Klassikern wie “admin/123456″ oder “admin/root”.

Die Gefahr ist nicht vorbei!

Wer nun glaubt, ab sofort wieder sicher zu sein, der irrt sich übrigens gründlich. Die Aufgabe des Angriffs war nur, die Benutzer-Passwortkombination eines Blogs herauszubekommen. Damit sind eigentliche Maßnahmen gegen das CMS noch gar nicht ergriffen worden. Das Skript klopft an und versucht herauszufinden, wie es reinkommt. Ist es einmal erfolgreich eingedrungen, kann so ein primitives Skript kaum einen Schaden anrichten. Der Erfolg wird also nur protokolliert und die Zugangsdaten werden an den Hacker geliefert.

Irgendwann später kommt ein echter Mensch vorbei. Er steigt mit den Zugangsdaten ein und kann dann beispielsweise selbst Plugins installieren, die Schadcode enthalten. Oder er schleust den Code in die Footerdatei ein.

Es empfiehlt sich also auf jeden Fall, den Tipps des Pressesprechers zu folgen, das Passwort zu ändern, Sicherungsplugins zu installieren und immer die Logins im Auge zu behalten. Anstatt sein Serverlog zu durchforsten, sollte man z.B. ein Statistikplugin wie Wassup installieren und überwachen, wer mit unbekannten IPs als angeblicher Admin eingeloggt hat.

Generell helfen aber gegen Brute-Force-Angriffe wie letzte Woche nur komplexe Passwörter, aktuelle CMS-Installationen und eine regelmäßige Kontrolle des Backends. Und das können uns weder 1&1 noch ein anderer Betreiber abnehmen.

Die Chancen, die Angreifer dingfest zu machen, sind übrigens minimal. Sie werden die Skripte aus dem Ausland gesteuert und sie auf Servern installiert haben, die sie mit ähnlichen Methoden in ihre Gewalt brachten. Unterm Strich sind also die Webhoster nicht die Verantwortlichen, sondern eher die Opfer des Leichtsinns ihrer Kunden.

War die Sicherung zu sicher?

1&1 hat zwar dem Angriff standhalten können, doch die Sicherungsmaßnahmen schießen anscheinend etwas über das Ziel hinaus und der Support der Pressestelle ist technisch überfordert und verweist auf den Technik-Support. So berichten einzelne Webmaster, dass sie zwar ihre Seiten aufrufen, doch nicht mehr als Admin einloggen können. Das soll sogar so weit gehen, dass ihre IPs nach einem Login-Versuch selbst auf der Startseite geblockt sind und nur ein Router-Reset hilft. Der Großteil der Kunden hat allerdings schon vom ersten Tag an keine Probleme mehr.

 

 

Weitere Themen: 1&1

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz