Da hier immer mal wieder Fragen aufkommen warum mein Handy des öfteren mal bimmelt bzw. was eigentlich so schwer daran ist ein paar Server zu betreiben hier einmal ein wenig Aufklärungsarbeit. Neben den „Normalen“ Befindlichkeiten wie Updates, Backups, etc. wird bei uns leidgeprüften Serveradmins ab und an noch durch sogenannte „User“ oder noch schlimmer andere Admins (oder solche die sich dafür halten) Arbeit generiert.
Bei letzteren sollte meine Verfahrensweise inzwischen einen gewisse Bekanntheit erlangt haben. Wenns freundlich ist wird ab und an mal geholfen, wenns nervt –> TONNE!!! bzw. der immer wieder gern gewählte Pranger am nächsten Adminstammtisch. Diese komische Randgruppe die sich „User“ nennt wird man meistens leider nicht ganz so schnell los, vor allem die eigenen.
Diese kleine Randgruppe von Arbeitsgeneratoren erzeugt beispielsweise auf einem meiner kleinen Hosts eine inzwischen deutlich 5 stellige Anzahl an Mails pro Tag. Hier sollte ich dazu sagen das die Anzahl der Personen die ich als Nutzer bei mir aufgenommen habe noch im niedrigen 1 stelligen Bereich ist. Jedesmal wenn ich mir diese Statistik anschauen denke ich aufs neue WTF!!!!. Aber sei es drum, Server sind ja dazu da auch einmal ein wenig Arbeit zu verrichten. Aus dem Webhosting bin ich inzwischen zum Glück heraus, doch wenn ich mich an die guten alten Tage zurückerinnere war die dort anfallende tägliche Arbeit (Updates, vergessene Passwörter, unendliche Erklärungen von FTP, usw.) auch immer ein echter Genuss.
Als dritte große Gruppe der Arbeitsgeneratoren kommen dann noch die unerwünschten User hinzu. Diese werden zum Glück zu sehr großen Teilen von den entsprechenden IDS Systemen und der Firewall abgefrühstückt doch der ein oder andere dieser Kandidaten schafft es dann doch unsere kostbare administrative Aufmerksamkeit auf sich zu ziehen. Um jeden dieser Knallköpfe einzeln zu verarzten fehlt uns Admins leider die Zeit, ganz nebenbei ist es eher enttäuschend was hier meistens zu sehen bekommt. Vom 14 jährigen der einfach mal mit ein paar Tools herumspielen wollte und dabei seinen eigenen VPS rootet 😉 bis zum 30 jährigen Hackerneuling der mit IRCbots spielt ist da viel schönes dabei. Für letzteren Endete es übrigens eher unlustig da ich seinen Serverhoster etwas besser kannte als er 😉 Diese Geschichte soll hier aber heute nicht das Thema sein.
Während ich es früher als eine Art Hobby ansah mir die besonders lustigen herauszupicken bzw. per Honeypot sogar anzulocken beschränke ich mich aktuell darauf 1-2 Kandidaten pro Woche einmal einer etwas näheren Untersuchung zu unterziehen. Viel mehr „interessante“ Kandidaten bleiben auch leider pro Woche nicht mehr übrig. Schauen wir doch aber einmal was das IDS so von sich gibt wie schlimm es denn aktuell so mit den Serverzugriffsversuchen ist. Zu allererst hätten wir da einmal die Statistik von SSH:
TOP5: SSH Clients ---- 1 SSH-2.0-PUTTY 274258 2 SSH-2.0-libssh2_1.4.2 48815 3 SSH-2.0-libssh2_1.4.3 41780 4 SSH-2.0-JSCH-0.1.51 4046 5 SSH-2.0-libssh2_1.4.1 2903 TOP3: Usernames ---- 1 root 1967284 2 admin 122235 3 ubnt 830 TOP3: Passwords ---- 1 admin 13820 2 9538 3 root 9070
Jupp da geht was, aber mal im ernst Putty als Client auf der 1? Ist das Ding wirklich so beliebt unter den Leuten die Bruteforcer basteln oder sitzen hier wirklich ein paar hundert arme Schweine vor irgendwelchen Rechnern und probieren Passwörter von Hand?
Bei den Usernamen würde ich ubnt mal einem richtig mies konfigurierten Botnetz mit Copy&Paste Fehler in der Config zuschreiben. Root und Admin sind wenigstens noch halbwegs nachvollziehbar und existieren sogar auf meinen Systemen meist beide (leider ohne Loginshell aber immerhin.) Kleiner Protip an dieser Stelle, so Geheim ist mein Username jetzt nicht.
Bei den Passwörtern sieht es nicht besser aus. „admin“, ernsthaft? Der 2te Platz ist dagegen schon wieder Interessant. Leer steht hier nicht unbedingt dafür das hier auch wirklich nur leere Passwörter geschickt wurden sondern einfach für Dinge die mein Parser nicht richtig rausziehen kann, dazu Zählt unter anderem auch Binarymüll und diverse andere interessante Sachen. Warum erst beim Passwortcheck gehört zu den Rätseln die ich mir bei nächster Gelegenheit noch einmal etwas genauer anschauen sollte. Hier liegt übrigens auch einer der Wege sich meine Aufmerksamkeit zu sichern. Ein anderer sicherer Weg sich meine Aufmerksamkeit und damit eine eventuelle Gesichtsmassage durch einen schweren metallischen Gegenstand zu sichern besteht übrigens darin eines meiner Webseitenpasswörter einzugeben oder mehreren Fehlversuchen auf mein echtes Passwort zu stoßen. Beides führt dazu das mein Handy seinen üblichen nervigen Ton anschlägt und ich in einen etwas Menschenfeinlichen Modus verfalle. Kommt inzwischen allerdings eher weniger häufig vor.
Aber zurück zum informationellen Teil. Ein weiterer sehr beliebter Anlaufpunkt sind Hackversuche auf dem Mailserver (also meist Bruteforce, Relayversuche zähle ich mal nicht dazu.) und natürlich Spaß mit dem Webserver. Aktuell beliebtestes Ziel meine WordPress Loginseite. Letzterem werde ich noch einmal einen eigenen Post spendieren da es hier wirklich jeden Rahmen sprengen würde, es sei aber verraten das an dieser Stelle die Skripte immerhin Intelligent genug sind zumindest den richtigen Usernamen aus der Seite zu parsen und hier die Passwörter durchzuprobieren. Auch hier wird natürlich fleißig protokolliert und von den Eingaben würde ich jetzt bei den meisten auf die gute alte RockYou Passwortliste tippen (Notiz an mich: sollte ich wirklich einmal abgleichen).
Ihr seht also ein Serveradmin hat durchaus noch etwas mehr zu tun als ab und an einmal seinen Stuhl zu wärmen und den IRC mit Blödsinn zu befüllen. Wer sich jetzt bemüsigt fühlt seinem Admin zu gedenken dem sein noch einmal der Sysadminday am 31. Juli dieses Jahr ans Herz gelegt. Böse Zungen behaupten das manche Admins sogar schwarze Listen führen wer sie an diesem Tag ärgert, bestätigen kann ich das natürlich nicht. Meine schwarze Liste wird das ganze Jahr über geführt 😉
In diesem Sinne ein wünsche ich noch ein fröhliches administrieren bzw. Spaß am Gerät in jeder erdenklichen Form und verabschiede mich an dieser Stelle. Für Anleitungen wie man auch an solche Logs kommt fehlt es mir gerade ein wenig an Motivation. Ein entsprechender Post wird aber sicher bald einmal von mir nachgeliefert werden.