Ein Brute-Force-Angriff hat es auf die Passwörter der root-Kennung Ihres Webservers abgesehen. Das Hacker-Tool probiert anhand der Ziffernkombinationen in seiner Datenbank eine enorme Zahl an Möglichkeiten nacheinander aus, wodurch ziemlich schnell die Lösung gefunden werden kann. Dazu muss es nicht kommen. Es gibt einige Mechanismen, die Sie zur Abwehr einsetzen können. Zunächst müssen sie die Angriffe erkennen. Danach müssen Sie Ihre Schwachstellen ausmachen, bevor es an der Behebung dieser Löcher geht.
Was sind Brute-Force-Angriffe?
Brute-Force-Angriffe haben zum Ziel, die Passwörter der root-Kennungen von Webservern zu entschlüsseln. Um dies zu realisieren, laufen Hackerprogramme auf zumeist hoch performanten Serversystemen, die bestimmte Webserver im Internet ins Visier nehmen. Bei diesen attackieren „Klassikern“ unter den Hacker-Attacken werden bestimmte Algorithmen verwendet, die sämtliche möglichen bzw. dem Programm bekannten Zeichenkombinationen ziffernweise ausprobieren. Grundlage ist eine Datenbank, auf die das Hacker-Tool zugreift, die u.a. alle allgemein gebräuchlichen Kennwörter sowie Ziffern- und Zahlenfolgen beinhaltet. Meistens werden diese am Anfang einer Brute-Force-Attacke eine nach der anderen ausprobiert. Dank der hohen Performance des Hacker-Servers können bei einer geeigneten Internetverbindung bereits nach kürzester Zeit eine immense Anzahl an Ziffern- und Zahlenkombinationen durchgetestet werden.
>> Kaufberatung: Root- & Managed-Server im Vergleich
[sc name=“adsense_InText_ad“]
Wie können Sie einen Brute-Force-Angriff erkennen?
Es geht alles sehr schnell. Ein Brute-Force-Angriff dauert nicht länger als 20 Sekunden. Das macht die Erkennung bereits ziemlich schwierig. Sie sollten daher eine kontinuierliche Überwachung Ihrer Logging-Dateien gewährleisten. Das Ihrem Webserver zugrunde liegende Linux-System muss mit einem Auditing-System ausgestattet werden, das die Zugriffe aufs System inklusive der Login-Versuche protokolliert. Daneben gibt es außerhalb Ihres Systems weitere Verteidigungsmöglichkeiten. Verschaffen Sie sich einen Zugriff auf die Protokolle der vorgeschalteten Firewall sowie der in den Netzwerkkomponenten installierten IPS- oder IDS-Systeme. Diese können entweder einen Angriff erkennen (IDS) oder im Vorfeld präventive Maßnahmen ergreifen (IPS). Gegebenenfalls sollten Sie diesbezüglich mit Ihrem Hosting-Provider zielführende Gespräche führen.
Suche nach den Schwachstellen Ihres Systems
Zunächst einmal sollten Sie niemals die Standard-Accounts verwenden, die bei der Erstinstallation von Linux angelegt werden. Bei Windows wäre dies der „Administrator“, der zumindest teilweise eingeschränkt ist. Die Superkennung bei Linux heißt „root“ und kann wirklich alles. Deaktivieren sie diese Kennung, nachdem Sie einen gleichwertigen Account erstellt haben.
Ein zweiter Faktor sind fehlende Sicherheitsupdates. Nicht nur Windows hat Löcher. Damit kann auch Linux dienen. Sie müssen alle aktuellen Korrekturen schnellstmöglich einspielen. Häufig ist das ein Katz-und-Maus-Spiel zwischen Hackern und Systemprogrammierern, die mit ihren Patches und Updates auf neue Angriffsmethoden stets nur reagieren können.
Drittens werden auf vielen Rechnern viel zu kurze Passwörter benutzt. Jede Stelle zu wenig verkürzt die Zeit dramatisch, die das Hacker-Tool für die Entschlüsselung brauchen würde.
Wie beheben Sie die Schwachstellen
Wenn Sie der root-Kennung das Login verweigern, haben Sie schon fast die halbe Miete. Die neue Superkennung sollte möglichst komplett anders heißen und vor der „Kaltstellung“ von root mit allen Rechten ausgestattet werden.
Besonders wichtig ist die Nutzung sicherer Passwörter mit einer Mindestlänge von acht Stellen. Damit sie nicht zu kompliziert für Ihre Kunden werden, sollten Sie Passwortrichtlinien in Ihr Portal integrieren.
Um Ihren Server administrieren zu können, müssen Sie sich entweder über eine Shell oder mit einem ftp-Client mit ihm verbinden. Achten Sie bei den Shell-Zugriffen auf eine SSH-Verschlüsselung. Das gute alte „telnet“ ist unbrauchbar. Das FTP-Protokoll bietet keine Verschlüsselung. Mit Ergänzungen ist es aber doch möglich. Das sollten Sie auch nutzen.
>> Workshop: Performance-Tuning für Ihre Website
Artikelbild: Fotolia / Oleksandr Delyk
