KRD-Blog Under Attack
Von: 25.10.2016 Veröffentlicht in: AllgemeinKeine Kommentare
Drucken E-Mail
Verehrte Leser und Leserinnen des KRD-Blogs, seit einigen Tagen steht der Blog unter einem Hacker-Angriff. Man versucht über einen Brute-Force-Angriff, das Zugangspasswort des Blogs zu knacken. Der schleichende Angriff blieb mir zunächst unbemerkt, bis mein russischer Hoster zwei Nachrichten am 18.10. übersandt hat und entsprechende zusätzliche Sicherheitsmaßnahmen installierte.
„Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um den Krypto-Algorithmus zu knacken. Dazu werden alle Ziffern, Buchstaben und Leerzeichen bis zu einer maximal Wortlänge ausprobiert. Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und Informationen oder auch auf Passwörter angesetzt werden.“ Quelle: ITWissen.info
Wer steckt dahinter? Was will man damit bezwecken? Fragen über Fragen…
Hier die erste Mail vom russischen Hoster:
„Здравствуйте!
Это автоматическое уведомление, не отвечайте на него. Для того чтобы задать вопрос, пожалуйста, перейдите по ссылке [Link entfernt] Наши специалисты оперативно рассмотрят запрос и помогут с его решением.
Здравствуйте!
Вас приветствует ООО «Регистратор доменных имён РЕГ.РУ»!
Вы являетесь владельцем услуги хостинга BENUTZERNAME (NAME entfernt).
В связи с обнаружением Brute-force атаки, на страницы доступа к административным
панелям всех Ваших сайтов использующих CMS Joomla и WordPress была установлена
дополнительная базовая HTTP-аутентификация средствами .htaccess.
Это означает, что при запросе доступа в административную часть сайта будет появляться
дополнительное окно с просьбой ввести логин и пароль.
Для HTTP-аутентификации были установлены текущие логин и пароль от доступа к панели
управления хостингом.
Обращаем Ваше внимание, что смена пароля от панели управления не повлечет за собой
смену пароля базовой аутентификации.
Подробную информацию о базовой HTTP-аутентификации, о том как ее убрать или изменить
логин и пароль Вы можете узнать обратившись к справке –
[Link entfernt]
Обращаем Ваше внимание, что Brute-force атаки могут приводить к превышению лимитов на
использование CPU.
Также, зараженные сайты участвуют во взломе других сайтов, DDoS атаках и рассылках
СПАМ-сообщений, что негативно сказывается на скорости работы сайта, рейтинге в
поисковых системах,
а так же в виде всевозможных блокировок со стороны независимых сервисов безопасности и
предупреждений клиентов о посещении небезопасных сайтов.
–С уважением,
Регистратор доменных имён REG.RU
Поддержка:
https://www.reg.ru/support/http://www.reg.ru/Это автоматическое уведомление, не отвечайте на него. Для того чтобы задать вопрос, пожалуйста, перейдите по ссылке [Link entfernt] Наши специалисты оперативно рассмотрят запрос и помогут с его решением.“
Übersetzung der ersten Mail nach Google:
„Hallo!
Dies ist eine automatische Benachrichtigung, reagieren Sie nicht darauf. Um eine Frage zu stellen, gehen Sie bitte auf [Link-entfernt]. Unsere Spezialisten werden die Anfrage und helfen mit seiner Entscheidung überprüfen.
Hallo!
Welcome „Registrar Domainnamen REG.RU“ zu OOO!
Sie besitzen eine Web-Hosting-Benutzername (NAME entfernt).
Im Zusammenhang mit der Entdeckung der Brute-Force-Angriff auf den Zugang zu administrativen Seiten Platten aller Ihrer Websites, um den CMS Joomla und WordPress installiert
Weitere grundlegende HTTP-Authentifizierung durch .htaccess.
Dies bedeutet, dass, wenn der Zugang zu den administrativen Teil der Website anfordert, erscheint zusätzliche Fenster, das Sie auffordert, Ihre Login und Passwort eingeben.
Für HTTP-Authentifizierung von wurden den aktuellen Benutzernamen und das Passwort für den Access-Panels installiert Hosting Control.Bitte beachten Sie, dass die Kennwortänderung über das Bedienfeld führt nicht Standardauthentifizierung Passwort ersetzen.Weitere Informationen zu den grundlegenden HTTP-Authentifizierung, wie sie ändern oder zu entfernen,Benutzername und Passwort, können Sie durch Kontaktaufnahme mit dem Hilfe finden können – [Link entfernt] Bitte beachten Sie, dass die Brute-Force-Angriff auf die die Grenzwerte führen kann Verwenden Sie CPU.Auch sind Altlasten in Hacking anderen Websites, von DDoS-Attacken beteiligt und Mailinglisten, Spam-Nachrichten, die einen negativen Einfluss auf die Geschwindigkeit der Website-Rankings Suchmaschinen,sowie in Form von verschiedenen Schlössern durch unabhängige Sicherheitsdienste und Kunden Warnungen über unsichere Websites zu besuchen.
–Mit freundlichen Grüßen,
Domain Name Registrar REG.RUSupport:
https://www.reg.ru/support/http://www.reg.ru/ Dies ist eine automatische Benachrichtigung, reagieren Sie nicht darauf. Um eine Frage zu stellen, gehen Sie bitte auf [Link-entfernt]. Unsere Spezialisten werden die Anfrage und helfen mit seiner Entscheidung überprüfen.“
Zweite Mail vom russischen Hoster:
„Здравствуйте!
Это автоматическое уведомление, не отвечайте на него. Для того чтобы задать вопрос, пожалуйста, перейдите по ссылке [Link entfernt] Наши специалисты оперативно рассмотрят запрос и помогут с его решением.
Здравствуйте!
Вас приветствует Регистратор доменных имён REG.RU!
Вы являетесь заказчиком услуги хостинга BENUTZERNAME (Name entfernt).
Уведомляем Вас, что использование CPU аккаунтом Benutzername приближается к максимально
допустимой суточной нагрузке в 13% для тарифного плана Host-3.
Подробная информация о технических ограничениях хостинга приводится на странице:
[Link entfernt]
Для обеспечения бесперебойной работы сайтов рекомендуем вам оптимизировать
использование CPU:
[Link entfernt]
История утилизации CPU:
DATE Server UserName Service Plan CPU Usage(%)
2016-10-12 serverYY BENUTZERNAME host-3 10
2016-10-14 serverYY BENUTZERNAME host-3 7
2016-10-16 serverYY BENUTZERNAME host-3 9
2016-10-17 serverYY BENUTZERNAME host-3 13
–С уважением,
Регистратор доменных имён REG.RU
Поддержка:
https://www.reg.ru/support/http://www.reg.ru/Это автоматическое уведомление, не отвечайте на него. Для того чтобы задать вопрос, пожалуйста, перейдите по ссылке [Link entfernt] Наши специалисты оперативно рассмотрят запрос и помогут с его решением.“
Übersetzung der zweiten Mail nach Google:
„Hallo!
Dies ist eine automatische Benachrichtigung, reagieren nicht darauf. Um eine Frage zu stellen, gehen Sie bitte auf [Link-entfernt] Unsere Spezialisten werden die Anfrage und helfen mit seiner Entscheidung überprüfen.
Hallo!
Willkommen in der Registrar von Domain-Namen REG.RU!
Sie sind Kunde bei der Hosting-Service Benutzername (Name entfernt).
Bitte beachten Sie, dass die maximale CPU-Auslastung Konto Benutzername nähern akzeptable tägliche Belastung von 13% des Tarifs Plan-Host-3. Details zu den technischen Grenzen der Hosting ist auf der Seite:
[Link entfernt]
Für einen reibungslosen Betrieb von Websites, empfehlen wir Ihnen bei der Optimierung
Verwenden Sie CPU:
[Link entfernt]
Die Geschichte der CPU-Auslastung:
DATUM Server Benutzername Service CPU-Auslastung (%)
2016.10.12 serverYY Benutzername host-3 à10%
2016.10.14 serverYY Benutzername host-3 à 7%
2016.10.16 serverYY Benutzername host-3 à 9%
2016.10.17 serverYY Benutzername host-3 à13%
–Mit freundlichen Grüßen,
Domain Name Registrar REG.RU
Support:
https://www.reg.ru/support/http://www.reg.ru/Dies ist eine automatische Benachrichtigung, reagieren nicht darauf. Um eine Frage zu stellen, gehen Sie bitte auf [Link-entfernt] Unsere Spezialisten werden die Anfrage und helfen mit seiner Entscheidung überprüfen.“
Wie man aus den übersetzten Mails entnehmen kann, handelt es sich seit einigen Tagen dauernden Angriff.
Angriff am 12.10.2016 –> 10% Serverbelastung
Angriff am 14.10.2016 –> 7% Serverbelastung
Angriff am 16.10.2016 –> 9% Serverbelastung
Angriff am 17.10.2016 –> 13% Serverbelastung
Hier liegt nicht die Absicht, den Blog kurzzeitig über einer DDoS-Attacke aus dem Netz zu nehmen, sondern den Blog vollkommen zu übernehmen. Habt bitte Verständnis, wenn der Blog in den letzten Tagen schwerlich öffnen ließ. Macht Euch aber keine Sorgen! Der Versuch zeigte keinen Erfolg und weitere Sicherheitsmaßnahmen wurden ergriffen. Ob es sich dabei um eine „Spaßaktion“ oder schon Ernsteres handelt, kann ich leider nicht sagen. Macht Euch eure eigenen Gedanken zu!
Euer Blogger
Dennis
Thema: http://krd-blog.de/ 2016 (Gelesen 99062 mal)
