stiehler.dev Marian Stiehler

Ukrainische Hacker

Seit meine neue Webseite online ist, kann ich direkt auf alle Log-Daten zugreifen, die mit ihr zu tun haben: auf dem Server, beim DNS-Provider und bei der Web Application Firewall.

Die Web Application Firewall wehrt Angriffe auf die Internetseite ab. Und seitdem diese Seite online ist – seit zwei Wochen – häufen sich ukrainische Angriffe, die diese Firewall protokolliert. Man versucht, auf \..\..\..\..\etc\passwd zuzugreifen – die Passwort-Datei eines Unix-Systems. Man versucht, auf Dateien in wp-admin zuzugreifen – das Administrationsverzeichnis einer WordPress-Installation. Man versucht, auf diverse PHP-Seiten zuzugreifen. Man versucht, auf /.git/config zuzugreifen – die Konfigurationsdatei eines Git-Systems. Und es gibt (mit 45 Zugriffen pro 24 h) relativ viele Zugriffe auf meinen Blog-Beitrag über Euklids Algorithmus – weiß der Himmel, warum. Dieser Beitrag existiert unter der aufgerufenen URL nicht mal mehr, ich habe ihn bewusst verschoben, das ist den (automatisierten?) Angriffen aber noch nicht aufgefallen.

Diese Angriffe werden zurzeit dreifach abgewehrt. Erstens fängt die Web Application Firewall sie ab, mit einem speziellen Regelset von Cloudflare. Zweitens ist ein Zugriff auf /etc/passwd auf meinem Server ohnehin auf diese Weise nicht möglich, ein WordPress-System ist nicht installiert, PHP ist nicht installiert, Git ist nicht installiert. Der Server hat eine äußerst schlanke Installation, eben um solche Angriffe möglichst ins Leere laufen zu lassen.

Es gibt etwa 60 Zugriffe aus der Ukraine in 24 Stunden. Das ist jetzt nicht die Welt, ein automatisierter Scan oder gar ein DDoS-Angriff sähen sicher anders aus. Trotzdem habe ich in der Web Application Firewall nun sämtliche Zugriffe aus der Ukraine, aus Russland und aus dem Iran unterbunden, zumindest soweit sie deren Herkunft eindeutig feststellen kann – das ist die dritte Abwehrmaßname.

Warum?

Die Frage, die ich mir stelle, ist eine andere: Warum? Meine Webseite hat eine .dev-Domain (developer). Aus mancher Sicht mag das eine typisch U.S.-amerikanische Domain sein. Greift die Ukraine amerikanische Webseiten an? Oder deutsche? Wer steckt dahinter? Russland? Wie sieht es auf Webseiten aus, die einen weit höheren Traffic haben als mein kleines privates Projekt? Wenn es automatisierte Angriffe sind, warum sind es dann nicht mehr als 60 pro Tag? Wenn es gezielte Angriffe sind, warum dann auf mich? Bin ich im Schlepptau einer größeren Aktion gegen die USA oder Deutschland gefangen?

Bemerkenswert ist auch, dass, soweit ich das über Reverse IP Lookups feststellen kann, keine Angriffe aus der Ukraine auf SSH abzielen. Die vielfältigen Angriffe auf den SSH-Port meines Servers kommen aus aller Welt, darunter China und die USA, aber eben nicht aus der Ukraine, Russland oder dem Iran.

Diese Fragen werden wohl unbeantwortet bleiben, es sei denn, es gibt in naher Zukunft ein größeres Ereignis irgendwo in den USA oder in Deutschland. Bis dahin bleibt mir nur, meine Internetpräsenz so sicher wie möglich zu gestalten. Ich hoffe doch, dass mir das gelingt.

Bildquelle: Photo by Soumil Kumar from Pexels