{"id":132,"date":"2008-05-14T22:27:16","date_gmt":"2008-05-14T20:27:16","guid":{"rendered":"http:\/\/robert.kolatzek.org\/wblog\/?p=132"},"modified":"2008-05-14T22:27:16","modified_gmt":"2008-05-14T20:27:16","slug":"botnetz","status":"publish","type":"post","link":"https:\/\/blog.kolatzek.org\/wblog\/132\/botnetz","title":{"rendered":"„Idioten sind selber schuld!“ oder „Warum Microsoft am Leid dieser Welt schuld ist“ ;-)"},"content":{"rendered":"

Seit einer Woche ist mein Server ebenso wie alle Rechner meines Hosters unter DDOS-Beschuss geraten. Es ist ein SSH-Scan, der zum Ziel das einloggen mit Administrator-Rechten hat. Dabei beteiligen sich viele Rechner im Netz.<\/p>\n

<\/p>\n

Diese Beteiligung ist nicht wirklich freiwillig. Es sind „entf\u00fchrte“ Windows-Kisten oder bereits gehackte Linux-Server (z.B. auch in Deutschland: FH-Erfurt – studiuk.fh-erfurt.de = 194.94.205.135). Ca 95% sind es aber Nutzer des Betriebssystems Windows, die auf alles Doppelklicken, was nicht schnell genug vor dem Mauszeiger fliehen kann – auch auf Vieren, Trojaner und sonstige Malware… Um die Idioten zu bestrafen (ja – Idioten, die noch nie in das Handbuch des Betriebssystem reingeschaut haben) muss man was unternehmen. Am besten f\u00fcr eine bis zwei Wochen lang vom Zugang zu jeglichen Diensten aussperren (am besten mit denyhosts – vgl. [link:denyhosts]). Irgendwann, wenn sie google nicht erreichen k\u00f6nnen, werden sie sich denken: „Google hat das Internet abgeschaltet“ und schalten – hoffentlich – ihren Rechner nie mehr ein!<\/p>\n

In Wirklichkeit bringt das (au\u00dfer um dem Prinzip treu zu bleiben) wenig: die meisten DSL-User kriegen jeden Tag (oder sogar bei jedem Login) die IP gewechselt. Man sperrt vielleicht sogar den falschen aus… Leider kommt man an die DAU’s (D\u00fcmmster Anzunehmender User) gar nicht heran. Man kann ihnen nicht sagen: „Man, Du hast ein Problem – Du hast ’nen Virus“, weil die Provider sich einen Dreck drum k\u00fcmmern, solche Mails weiterzuleiten. Microsoft interessiert das auch nicht. Man hofft wohl immer noch, dass es irgendwann eine Generation von Windows-Usern heranw\u00e4chst, die auch wei\u00df, was es tut. Der Software-Riese macht auch oft keine Patches f\u00fcr absolute Anf\u00e4nger-Fehler wie das Ausf\u00fchren von Skripten in Webseiten, wo eigentlich nur ein Bild oder Film sein d\u00fcrfte. Dazu muss man schon auf IE 7 umsteigen!<\/p>\n

Also, wenn Sie mich fragen, stehen f\u00fcr mich die Schuldigen fest: die Windows-Welt: vom „Bill wie Gates?“ bis zum letzten DAU. Nicht weil Linux so viel besser w\u00e4re… Nein! Der Unterschied liegt darin, dass die Linux-User zumindest \u00fcber ein Basiswissen zum Thema „Computer“ verf\u00fcgen. Eine striktere Verfolgung von Definitionen wie „ein Bild darf kein Javascript enthalten“ hilf ebenfalls… Hier findet Ihr eine t\u00e4glich aktualisierte Liste von IP’s aus angreifenden Bot-Netzen: hier (darf man klicken)<\/a>.<\/p>\n

UPDATE:<\/em> Unter dem Motto „Admins dieser Welt vereinigt euch!“: Installiert mal apache-modsecurity (vgl. [link:modsecurity]) und f\u00fcgt folgende Zeilen in die Modul-Konfig-Datei hinein:<\/p>\n

SecFilterScanOutput On\nSecFilterSelective OUTPUT \"http:\/\/xprmn4u.info\/f.js\" deny,status:500\nSecFilterSelective OUTPUT \"http:\/\/free.hostpinoy.info\/f.js\" deny,status:500<\/pre>\n
damit stoppen wir (zumindest im Moment) die Infektion von Zu-bl\u00f6d-f\u00fcr-Linux-Usern mit freedd.albhost.info\/go.php?sid=1<\/p>\n","protected":false},"excerpt":{"rendered":"
Seit einer Woche ist mein Server ebenso wie alle Rechner meines Hosters unter DDOS-Beschuss geraten. Es ist ein SSH-Scan, der zum Ziel das einloggen mit Administrator-Rechten hat. Dabei beteiligen sich viele Rechner im Netz.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_sitemap_exclude":false,"_sitemap_priority":"","_sitemap_frequency":"","ocean_post_layout":"","ocean_both_sidebars_style":"","ocean_both_sidebars_content_width":0,"ocean_both_sidebars_sidebars_width":0,"ocean_sidebar":"","ocean_second_sidebar":"","ocean_disable_margins":"enable","ocean_add_body_class":"","ocean_shortcode_before_top_bar":"","ocean_shortcode_after_top_bar":"","ocean_shortcode_before_header":"","ocean_shortcode_after_header":"","ocean_has_shortcode":"","ocean_shortcode_after_title":"","ocean_shortcode_before_footer_widgets":"","ocean_shortcode_after_footer_widgets":"","ocean_shortcode_before_footer_bottom":"","ocean_shortcode_after_footer_bottom":"","ocean_display_top_bar":"default","ocean_display_header":"default","ocean_header_style":"","ocean_center_header_left_menu":"","ocean_custom_header_template":"","ocean_custom_logo":0,"ocean_custom_retina_logo":0,"ocean_custom_logo_max_width":0,"ocean_custom_logo_tablet_max_width":0,"ocean_custom_logo_mobile_max_width":0,"ocean_custom_logo_max_height":0,"ocean_custom_logo_tablet_max_height":0,"ocean_custom_logo_mobile_max_height":0,"ocean_header_custom_menu":"","ocean_menu_typo_font_family":"","ocean_menu_typo_font_subset":"","ocean_menu_typo_font_size":0,"ocean_menu_typo_font_size_tablet":0,"ocean_menu_typo_font_size_mobile":0,"ocean_menu_typo_font_size_unit":"px","ocean_menu_typo_font_weight":"","ocean_menu_typo_font_weight_tablet":"","ocean_menu_typo_font_weight_mobile":"","ocean_menu_typo_transform":"","ocean_menu_typo_transform_tablet":"","ocean_menu_typo_transform_mobile":"","ocean_menu_typo_line_height":0,"ocean_menu_typo_line_height_tablet":0,"ocean_menu_typo_line_height_mobile":0,"ocean_menu_typo_line_height_unit":"","ocean_menu_typo_spacing":0,"ocean_menu_typo_spacing_tablet":0,"ocean_menu_typo_spacing_mobile":0,"ocean_menu_typo_spacing_unit":"","ocean_menu_link_color":"","ocean_menu_link_color_hover":"","ocean_menu_link_color_active":"","ocean_menu_link_background":"","ocean_menu_link_hover_background":"","ocean_menu_link_active_background":"","ocean_menu_social_links_bg":"","ocean_menu_social_hover_links_bg":"","ocean_menu_social_links_color":"","ocean_menu_social_hover_links_color":"","ocean_disable_title":"default","ocean_disable_heading":"default","ocean_post_title":"","ocean_post_subheading":"","ocean_post_title_style":"","ocean_post_title_background_color":"","ocean_post_title_background":0,"ocean_post_title_bg_image_position":"","ocean_post_title_bg_image_attachment":"","ocean_post_title_bg_image_repeat":"","ocean_post_title_bg_image_size":"","ocean_post_title_height":0,"ocean_post_title_bg_overlay":0.5,"ocean_post_title_bg_overlay_color":"","ocean_disable_breadcrumbs":"default","ocean_breadcrumbs_color":"","ocean_breadcrumbs_separator_color":"","ocean_breadcrumbs_links_color":"","ocean_breadcrumbs_links_hover_color":"","ocean_display_footer_widgets":"default","ocean_display_footer_bottom":"default","ocean_custom_footer_template":"","ocean_post_oembed":"","ocean_post_self_hosted_media":"","ocean_post_video_embed":"","ocean_link_format":"","ocean_link_format_target":"self","ocean_quote_format":"","ocean_quote_format_link":"post","ocean_gallery_link_images":"on","ocean_gallery_id":[],"footnotes":""},"categories":[8],"tags":[98,101],"class_list":["post-132","post","type-post","status-publish","format-standard","hentry","category-software","tag-sicherheit","tag-software-co","entry"],"_links":{"self":[{"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/posts\/132","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/comments?post=132"}],"version-history":[{"count":0,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/posts\/132\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/media?parent=132"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/categories?post=132"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/tags?post=132"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}