{"id":17547,"date":"2024-12-29T15:54:27","date_gmt":"2024-12-29T14:54:27","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=17547"},"modified":"2024-12-29T15:54:28","modified_gmt":"2024-12-29T14:54:28","slug":"ganze-laender-auf-dem-webserver-mit-ufw-blockieren","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2024\/12\/29\/ganze-laender-auf-dem-webserver-mit-ufw-blockieren\/","title":{"rendered":"Ganze L\u00e4nder auf dem Webserver mit UFW blockieren"},"content":{"rendered":"\n

Nun, die Linux<\/a> Bibel ist recht bekannt – also auch ein Server<\/a>, der gerne angegriffen wird. Der Server<\/a>, also das Betriebssystem<\/a>, ist inzwischen exzellent abgesichert – ein Problem ist natürlich noch immer – die Datenbank<\/a>. WordP<\/a>ress hat eine Suche – diese funktioniert natürlich mit PHP, mit PHP greift die Suche wieder auf die Datenbank<\/a> zu.<\/p>\n\n\n\n

Ein Problem dabei – hat die Datenbank<\/a> eine Sicherheitslücke, die noch nicht gefixt wurde – kann man mit den passenden PHP-Befehl<\/a>en auf diese zugreifen und etwa auch, wenn eine Sicherheitslücke ausgenutzt werden kann, diese übernehmen. Diese Geschichte nennt man SQL-Injection. Hier einige Beispiele, die auf der Linux<\/a> Bibel nicht ausgenutzt werden konnten:<\/p>\n\n\n\n

0\"XOR(if(now()=sysdate(),sleep(15),0))XOR\"Z\n(select(0)from(select(sleep(15)))v)\/*' (select(0)from(select(sleep(15)))v) '\" (select(0)from(select(sleep(15)))v) \"*\/\t\n0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z\t\nif(now()=sysdate(),sleep(15),0)\n'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'\n1\u00c0\u00a7\u00c0\u00a2'\"\nthe'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'\n1'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'\t\n1*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)\n-1); waitfor delay '0:0:15' --\n-1; waitfor delay '0:0:15' --\nthe-1 waitfor delay '0:0:15' -\nthe\/page'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'\nthe0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z\nthe0\"XOR(if(now()=sysdate(),sleep(15),0))XOR\"Z\n-1 OR 2 31-31-1=0 0 0 1 --\n-1 OR 2 83-83-1=0 0 0 1 -\n-1 OR 2 86-86-1=0 0 0 1 --\n-1 OR 2 98-98-1=0 0 0 1 --\n-1' OR 2 248-248-1=0 0 0 1 or 'FIzQAb8x'='\n-1' OR 2 580-580-1=0 0 0 1 or 'MIRrW8gW'='\n-1)) OR 52=(SELECT 52 FROM PG_SLEEP(15))--\n0K1ZBbZY') OR 555=(SELECT 555 FROM PG_SLEEP(15))--\n0thGeTF9'; waitfor delay '0:0:15' --\n1-1 OR 538=(SELECT 538 FROM PG_SLEEP(15))-\n1Ri1YZArf') OR 518=(SELECT 518 FROM PG_SLEEP(15))--\n30j4vGTy'; waitfor delay '0:0:15' --\n@@3auAt\nEU6KKJwC' OR 597=(SELECT 597 FROM PG_SLEEP(15))--<\/code><\/pre>\n\n\n\n
Funktioniert ein Angriff nicht, bekommt der Angreifer einfach gesagt, nur die Fehlermeldung, dass sein gesuchter Begriff nicht gefunden wurde.<\/p>\n\n\n\n
Die meisten Angriffe kommen aus Russlan<\/a>d und Englan<\/a>d, aber auch aus Deutschlan<\/a>d gibt es solche – die meisten Angreifer nutzen lustigerweise das anfälligste System überhaupt – Windows. Sehen wir uns einmal ein paar solcher Angreifer näher an (leider habe ich hier in Matomo noch die IP-Adresse<\/a>n auf Anonymität getrimmt, dies mache ich jetzt nicht mehr<\/em>):<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Die einfachste Möglichkeit sich zu schützen ist natürlich, die Software aktuell zu halten – hier könnte man aber noch immer das Pech haben, eine Lücke zu haben, die den Entwicklern nicht bekannt ist – dem Angreifer aber schon – so arbeitet zum Beispiel die israelische NSO Group.<\/p>\n\n\n\n
Die weitaus intelligentere Methode – die IP-Adresse<\/a>n, der Länder, aus denen angegriffen wird – einfach sperren. Deutschlan<\/a>d zu sperren, wäre natürlich nicht sonderlich erfreulich – aber hier hat es bisher auch nur einen Angreifer gegeben. Also sind Russlan<\/a>d und Englan<\/a>d dran. Die Besucher aus Russlan<\/a>d – 454 und Englan<\/a>d – 288 im Jahr 2024 werden es wohl überleben.<\/p>\n\n\n\n
Wie geht man jetzt vor – nehmen wir einfach die Firewall UFW unter Linux<\/a> (eigentlich ist diese ja nur ein Frontend, mit der man die Iptables \/ Nftables steuert<\/em>). Als Erstes benötigen wir die IP-Adresse<\/a>n, die in den Ländern genutzt werden – diese erhält man etwa unter IP2location<\/a>:<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Man wählt das Lan<\/a>d und am Ende „CIDR<\/strong>„, klickt auf „Download<\/strong>“ und erhält eine Textdatei<\/a>. Diese Textdatei<\/a> benennt man passend um – in meinem Fall etwa „russia.txt<\/strong>“ und lädt diese auf den Server<\/a>.<\/p>\n\n\n\n
Jetzt fügt man die IP-Adresse<\/a>n aus der Datei<\/a> in die Regeln der Firewall ein, natürlich als root<\/a>:<\/p>\n\n\n\n
cat russia.txt | awk '\/^[^#]\/ { print $1 }' | xargs -I {} ufw deny from {} to any<\/code><\/pre>\n\n\n\n
Gerade bei großen IP-Adressbereichen, wie denen aus Russlan<\/a>d, kann dies schon mal eine halbe Stunde dauert – im besten Fall nutzen Sie also etwa Tmux<\/a>, damit die SSH<\/a>-Verbindung nicht abbricht.<\/p>\n
\r\n    
\r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    7    <\/span>\r\n<\/div>
\r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    1<\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"
Nun, die Linux Bibel ist recht bekannt – also auch ein Server, der gerne angegriffen wird. Der Server, also das Betriebssystem, ist inzwischen exzellent abgesichert – ein Problem ist nat\u00fcrlich noch immer – die Datenbank. WordPress hat eine Suche – diese funktioniert nat\u00fcrlich mit PHP, mit PHP greift die Suche wieder auf die Datenbank zu. […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-17547","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17547","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=17547"}],"version-history":[{"count":1,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17547\/revisions"}],"predecessor-version":[{"id":17556,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17547\/revisions\/17556"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=17547"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=17547"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=17547"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}