Direkt zum Inhalt

Rückkehr der Script Kiddies

In den letzten Monaten wurde die Website von JP Software (https://jpsoft.com) wird täglich zunehmend von einer Vielzahl unfähiger Möchtegern-Hacker angegriffen. Sie stammen hauptsächlich aus China und versuchen ständig, Root-Zugriff auf den Server oder Admin-Zugriff auf den Mailserver zu erlangen.

Warum sie Ersteres versuchen, ist ein Rätsel (es sei denn, es handelt sich nur um zufälligen Vandalismus), da wir keine Kundendaten oder Kreditkarteninformationen auf dem Server speichern und keine politische Werbung machen Agenda. Selbst der Zugriff auf den Mailserver erscheint sinnlos, da es leicht ist, ISPs zu finden, die bereit sind, Spam an jeden zu senden, der gerade erstellt wird. Glücklicherweise wurde ihrer Dummheit bei der Auswahl ihrer Ziele bisher ihre Unfähigkeit bei der Durchführung der Angriffe gegenübergestellt. Abgesehen von ein paar kurzen DOS-Verlangsamungen ist es ihnen nicht gelungen, Schaden anzurichten oder sich Zugang zu verschaffen. Aber sie sind hartnäckig, also beschloss ich, dass es an der Zeit war, das Ziel etwas zu verstärken.

Als erstes wurde eine Firewall auf dem Server installiert. Wir haben einen VPS über KnownHost, und obwohl ich etwas überrascht war, dass wir standardmäßig keine Firewall installiert hatten, war es ein einfacher Vorgang, csf/lfd zum Server hinzuzufügen. Allein diese Aktion hat fast alle Mailserver-Angriffe eliminiert, indem jeder mit mehreren abgelehnten Anmeldeversuchen (dauerhaft) blockiert wurde.

Der nächste Schritt bestand darin, einen Proxy vor jpsoft.com hinzuzufügen, um zu versuchen, zumindest einige der webbasierten Angriffe herauszufiltern. Nachdem wir mit mehreren Alternativen experimentiert hatten, entschieden wir uns dafür CloudFlare. CloudFlare stammt aus Project Honey Pot und kann eine Vielzahl von Bedrohungen identifizieren und blockieren, darunter Kommentar-Spam, E-Mail-Ernte, SQL-Injection, Cross-Site-Scripting und (nicht katastrophale) DOS-Angriffe. Der gesamte HTTP-Verkehr durchläuft zunächst CloudFlare. Wenn die Anfrage als gültig erachtet wird und die Daten nicht bereits im CloudFlare-Rechenzentrum zwischengespeichert sind, werden sie zur Verarbeitung an den JP Software-Server weitergeleitet. Ein erfreulicher Nebeneffekt von CloudFlare ist, dass es auch wie ein CDN funktioniert, was dazu führt, dass die Website von JP Software etwa 40 % schneller lädt als zuvor! Es gibt eine kostenlose Version von CloudFlare, die ein gewisses Maß an Sicherheit und die meiste Geschwindigkeit bietet. Wir haben uns jedoch für die Pro-Version (20 $/Monat) entschieden, die mehr Sicherheit (und etwas mehr Geschwindigkeit) bietet.

Gleichzeitig haben wir auch ein „echtes“ CDN (MaxCDN) hinzugefügt, um die PNG- und JPEG-Bilder unserer Website sowie einen Teil des Javascripts zu verarbeiten. Dies und einige zusätzliche Optimierungen des HTML-Codes und der Bilder führten zu einer weiteren Geschwindigkeitssteigerung von 50 %.

Endresultat? Dank einiger hartnäckiger (aber alberner) chinesischer Teenager verfügt JP Software über einen sichereren Server, auf dem unsere Website etwa doppelt so schnell läuft wie zuvor.

Wenn jemand Vorschläge für weitere Schritte hat, die wir unternehmen könnten, oder wenn Sie Fragen zu unseren CloudFlare-Erfahrungen haben, lassen Sie es mich wissen.