Seit einer Woche ist mein Server ebenso wie alle Rechner meines Hosters unter DDOS-Beschuss geraten. Es ist ein SSH-Scan, der zum Ziel das einloggen mit Administrator-Rechten hat. Dabei beteiligen sich viele Rechner im Netz.
Diese Beteiligung ist nicht wirklich freiwillig. Es sind „entführte“ Windows-Kisten oder bereits gehackte Linux-Server (z.B. auch in Deutschland: FH-Erfurt – studiuk.fh-erfurt.de = 194.94.205.135). Ca 95% sind es aber Nutzer des Betriebssystems Windows, die auf alles Doppelklicken, was nicht schnell genug vor dem Mauszeiger fliehen kann – auch auf Vieren, Trojaner und sonstige Malware… Um die Idioten zu bestrafen (ja – Idioten, die noch nie in das Handbuch des Betriebssystem reingeschaut haben) muss man was unternehmen. Am besten für eine bis zwei Wochen lang vom Zugang zu jeglichen Diensten aussperren (am besten mit denyhosts – vgl. [link:denyhosts]). Irgendwann, wenn sie google nicht erreichen können, werden sie sich denken: „Google hat das Internet abgeschaltet“ und schalten – hoffentlich – ihren Rechner nie mehr ein!
In Wirklichkeit bringt das (außer um dem Prinzip treu zu bleiben) wenig: die meisten DSL-User kriegen jeden Tag (oder sogar bei jedem Login) die IP gewechselt. Man sperrt vielleicht sogar den falschen aus… Leider kommt man an die DAU’s (Dümmster Anzunehmender User) gar nicht heran. Man kann ihnen nicht sagen: „Man, Du hast ein Problem – Du hast ’nen Virus“, weil die Provider sich einen Dreck drum kümmern, solche Mails weiterzuleiten. Microsoft interessiert das auch nicht. Man hofft wohl immer noch, dass es irgendwann eine Generation von Windows-Usern heranwächst, die auch weiß, was es tut. Der Software-Riese macht auch oft keine Patches für absolute Anfänger-Fehler wie das Ausführen von Skripten in Webseiten, wo eigentlich nur ein Bild oder Film sein dürfte. Dazu muss man schon auf IE 7 umsteigen!
Also, wenn Sie mich fragen, stehen für mich die Schuldigen fest: die Windows-Welt: vom „Bill wie Gates?“ bis zum letzten DAU. Nicht weil Linux so viel besser wäre… Nein! Der Unterschied liegt darin, dass die Linux-User zumindest über ein Basiswissen zum Thema „Computer“ verfügen. Eine striktere Verfolgung von Definitionen wie „ein Bild darf kein Javascript enthalten“ hilf ebenfalls… Hier findet Ihr eine täglich aktualisierte Liste von IP’s aus angreifenden Bot-Netzen: hier (darf man klicken).
UPDATE: Unter dem Motto „Admins dieser Welt vereinigt euch!“: Installiert mal apache-modsecurity (vgl. [link:modsecurity]) und fügt folgende Zeilen in die Modul-Konfig-Datei hinein:
SecFilterScanOutput On SecFilterSelective OUTPUT "http://xprmn4u.info/f.js" deny,status:500 SecFilterSelective OUTPUT "http://free.hostpinoy.info/f.js" deny,status:500
damit stoppen wir (zumindest im Moment) die Infektion von Zu-blöd-für-Linux-Usern mit freedd.albhost.info/go.php?sid=1