Sie sind nicht angemeldet.

Der Angriff kam in den Morgenstunden

Lieber Besucher, herzlich willkommen im German Railroads Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Karsten Pohl

German Railroads

  • »Karsten Pohl« ist der Autor dieses Themas

Beiträge: 1 755

Registrierungsdatum: 8. Juni 2003

Wohnort: Wedel bei Hamburg

  • Nachricht senden

1

Freitag, 12. Mai 2017, 19:09

Der Angriff kam in den Morgenstunden

Hallo,

heute Morgen um kurz nach 05:00 wurde unser Server von einer Lawine aus Zugriffen auf unser Forum überrollt. Innerhalb einer Minute griffen tausende "Gäste" auf das Forum zu. Nach etwa einer Minute kollabierte die Datenbank hinter dem Forum, da die Tabellen, die die Sitzungen verwalten, vollgelaufen waren. Die Zugriffe stammten von verschiedenen Rechnern aus dem US-amerikanischen Raum.

Aus Sicherheitsgründen haben wir auch unseren Webshop zeitweise vom Netz genommen, um unsere Kundendaten keinem Risiko auszusetzen. Auf den Webshop haben heute aber keine ungewöhnlichen Zugriffe stattgefunden.

Nach einer Analyse der Datenmassen in den Log-Dateien des Servers konnten die Aktivitäten auf drei verschiedene, bösartige Bots reduziert werden, die versuchten, Unfug auf unserem Webserver zu veranstalten.

Nachdem die Anfragen der Bots in der Konfiguration des Webservers für alle German Railroads Angebote ins "Leere" geschickt wurden und die Datenbank des Forums wieder zum Laufen gebracht wurde, gingen das Forum und der Webshop am Nachmittag wieder online.

Mittlerweile werden auch alle Verbindungsversuche der am Angriff beteiligten Rechner direkt an der Firewall unseres Servers abgeblockt.

Auch wenn die Angriffe an unserem Server derzeit abprallen, so belasten sie die Netzwerkanbindung und kosten Bandbreite. Es sind nach wie vor einige hundert Verbindungsversuche in der Minute. Dagegen sind wir machtlos, aber die Angreifer werden wohl bald das Interesse verlieren, wenn sie ständig gegen die Wand laufen.
Viele Grüße aus Wedel bei Hamburg
Karsten




Menschen hören nicht auf zu spielen, weil sie alt werden - sie werden alt, weil sie aufhören zu spielen. (Oliver Wendell Holmes)

Zeichensetzung kann Leben retten! Dem Henker wird eine Notiz des Königs überreicht: "Tötet ihn nicht begnadigt!"

Spike

Rollmaterial

Beiträge: 789

Registrierungsdatum: 15. November 2012

  • Nachricht senden

2

Samstag, 13. Mai 2017, 01:26

Der Angriff kam in den Morgenstunden

Hallo Karsten,

danke für die Info. Unglaublich. Wer sollte Interesse daran haben, das GR-Forum lahmzulegen? Vielleicht ist es ja nur ein Scriptkiddie, das sich mal austoben wollte, aber trotzdem...


Life in the desert is exciting. Last night the sun went down and this morning the sun came up. There's always something happening. - Spike -

SvenS

Dienststellenleiter

Beiträge: 159

Registrierungsdatum: 14. April 2013

Wohnort: Leinfelden-Echterdingen

Beruf: IT-Fuzzy

  • Nachricht senden

3

Samstag, 13. Mai 2017, 01:48

Der Angriff kam in den Morgenstunden

Ich denke mal, da liegt eher eine Verwechslung mit den Namen 'German Railroads' vor. Die haben ja auch Krankenhäuser usw. angegriffen, vielleicht dachte man, hier eine deutsche Infrastruktur-Einrichtung zu treffen.

Obwohl, ist es ja irgendwie auch ein wenig [SMILE]

Gruß Sven
...unterwegs auf TS2017 und EEP13(14) - fahren und bauen.

Cris

Lebende Foren-Legende

Beiträge: 1 251

Registrierungsdatum: 17. Juli 2006

Wohnort: Dresden

  • Nachricht senden

4

Samstag, 13. Mai 2017, 08:44

Der Angriff kam in den Morgenstunden

Die Zugriffe stammten von verschiedenen Rechnern aus dem US-amerikanischen Raum.
Bloß gut, daß ich kein Journalist bin. Sonst müßte ich mir jetzt echt was einfallen lassen, wie man hier die Kurve kriegt, daß die Russen dahinterstecken ... ;)

Grüße Cris

re10

Fahrdienstleiter

Beiträge: 113

Registrierungsdatum: 10. Mai 2005

Wohnort: Niederrhein

  • Nachricht senden

5

Samstag, 13. Mai 2017, 09:22

Der Angriff kam in den Morgenstunden

Da hat wohl jemand gedacht: German Railroads =Deutsche Bahn AG

hier drücken

Karsten Pohl

German Railroads

  • »Karsten Pohl« ist der Autor dieses Themas

Beiträge: 1 755

Registrierungsdatum: 8. Juni 2003

Wohnort: Wedel bei Hamburg

  • Nachricht senden

6

Samstag, 13. Mai 2017, 12:40

Der Angriff kam in den Morgenstunden

Hallo,

ich denke, dass der Angriff gestern auf unsere Server und der Angriff heute auf die Deutsche Bahn nicht zwangsläufig im Zusammenhang stehen.

Der Cyberangriff auf die Bahn nutzt gezielt eine Sicherheitslücke in Windows aus. Der GR-Server läuft jedoch mit Linux.

Die Bots, die sich gestern auf das Forum gestürzt haben, haben gezielt versucht, in die Nutzerprofile der Mitglieder dieses Forums einzudringen. Diese Bots sind in Fachkreisen als aggressive Datensammler bekannt, die versuchen, über Lücken an persönliche Daten zu gelangen, die dann per Verkauf Dritten angeboten werden.

Soweit ich das bisher überblicke, haben sich diese Bots durch die Beiträge des Forums gewühlt und versucht, über den in den Beiträgen befindlichen Link zum Profil des jeweiligen Verfassers zu gelingen. Dies gelingt in diesem Forum allerdings nicht, wenn man sich als "Gast" durch das Forum bewegt, was die Bots taten. Hier kann man wohl nicht von einer gut durchdachten Aktion, sondern einer Hoffnung auf einen Zufallstreffer sprechen.

In den Protokollen des Servers finden sich keine Hinweise auf anderweitige Aktivitäten.

Die Bahn hat es dagegen wohl mit einem Verschlüsselungstrojaner zu tun.
Viele Grüße aus Wedel bei Hamburg
Karsten




Menschen hören nicht auf zu spielen, weil sie alt werden - sie werden alt, weil sie aufhören zu spielen. (Oliver Wendell Holmes)

Zeichensetzung kann Leben retten! Dem Henker wird eine Notiz des Königs überreicht: "Tötet ihn nicht begnadigt!"

SvenS

Dienststellenleiter

Beiträge: 159

Registrierungsdatum: 14. April 2013

Wohnort: Leinfelden-Echterdingen

Beruf: IT-Fuzzy

  • Nachricht senden

7

Samstag, 13. Mai 2017, 15:39

Der Angriff kam in den Morgenstunden

Danke für die Aufklärung.

Gut, wenn man sich an die Regel hält, bei jedem Forum und bei jedem Service immer (!!!) ein anderes/neues Passwort zu verwenden. Damit kann man den Schaden drastisch reduzieren, falls so ein Angriff doch mal erfolgreich sein sollte...

Gruß Sven
...unterwegs auf TS2017 und EEP13(14) - fahren und bauen.

Karsten Pohl

German Railroads

  • »Karsten Pohl« ist der Autor dieses Themas

Beiträge: 1 755

Registrierungsdatum: 8. Juni 2003

Wohnort: Wedel bei Hamburg

  • Nachricht senden

8

Samstag, 13. Mai 2017, 23:12

Der Angriff kam in den Morgenstunden

Hallo Sven,

diese Regeln sind sicherlich sinnvoll und die Vergangenheit hat gezeigt, dass einige - auch große Anbieter - recht sorglos mit den ihnen anvertrauten Daten umgehen. Der Fall "Yahoo" wäre solch ein Beispiel. Hier gelang es im Sommer 2012 Hackern in die Nutzerdatenbank einzubrechen und fast eine halbe Million Nutzerdaten nebst unverschlüsselten (!) Passworten auszulesen und zu veröffentlichen (Link). Soweit bekannt wurden 2013, 2014 und 2016 über 1,5 Milliarden weitere Datensätze gestohlen...

Bei der GR gibt es (leider) keine Milliarde Kundendaten. Trotzdem (oder gerade deswegen) liegt mir die Sicherheit der persönlichen Daten sehr am Herzen.

Für die Tekkies unter Euch: Passworte werden bei der GR mit einem Salt versehen und als Hash gespeichert. Das Verfahren ist vielfach beschrieben und über Tante Google zu finden.

Auch wenn für mich die Absicherung des Servers höchste Priorität hat, kann es keinen absoluten Schutz geben. Aber es ist wie mit einem Haus: Kriminelle suchen sich möglichst leichte und attraktive Ziele aus. Die GR ist klein, recht unbedeutend und gut gesichert. Es ist aber erschreckend, wie viele Server im Internet stehen, deren Türen offene Scheunentore sind.
Viele Grüße aus Wedel bei Hamburg
Karsten




Menschen hören nicht auf zu spielen, weil sie alt werden - sie werden alt, weil sie aufhören zu spielen. (Oliver Wendell Holmes)

Zeichensetzung kann Leben retten! Dem Henker wird eine Notiz des Königs überreicht: "Tötet ihn nicht begnadigt!"

Achim Groteclaes

Lebende Foren-Legende

Beiträge: 1 843

Registrierungsdatum: 27. Juli 2007

Wohnort: Köln

  • Nachricht senden

9

Montag, 22. Mai 2017, 18:05

Der Angriff kam in den Morgenstunden

Soweit ich das bisher überblicke, haben sich diese Bots durch die Beiträge des Forums gewühlt und versucht, über den in den Beiträgen befindlichen Link zum Profil des jeweiligen Verfassers zu gelingen. Dies gelingt in diesem Forum allerdings nicht, wenn man sich als "Gast" durch das Forum bewegt, was die Bots taten. Hier kann man wohl nicht von einer gut durchdachten Aktion, sondern einer Hoffnung auf einen Zufallstreffer sprechen.

Ich habe mich allerdings immer schon gewundert, wo sich Gäste überall bewegen.



Auch habe ich schon mal gelesen, das ein Gast eine Private Nachricht liest,

Jedenfalls habe ich den Eindruck, dass die Anzahl der "Gäste" seit dem Vorfall stark abgenommen hat.
.
Gruß aus Köln
Achim

Achim Groteclaes

Lebende Foren-Legende

Beiträge: 1 843

Registrierungsdatum: 27. Juli 2007

Wohnort: Köln

  • Nachricht senden

10

Montag, 22. Mai 2017, 23:12

Der Angriff kam in den Morgenstunden

Auch habe ich schon mal gelesen, das ein Gast eine Private Nachricht liest,

Ich hatte es noch im Hinterkopf, aber "Gäste" können auch Private Nachrichten erstellen!



.
Gruß aus Köln
Achim

SvenS

Dienststellenleiter

Beiträge: 159

Registrierungsdatum: 14. April 2013

Wohnort: Leinfelden-Echterdingen

Beruf: IT-Fuzzy

  • Nachricht senden

11

Dienstag, 23. Mai 2017, 11:01

Der Angriff kam in den Morgenstunden

Das finde ich aber nicht wirklich gut. Ist m.W. auch eher unüblich. Denn so öffnet man dem Spam Tür und Tor, dass muss zumindest ich in einem Forum nicht auch noch haben. Hier bei GR hatte ich bisher hier auch nicht, allerdings in einem anderem Forum.

Gruß Sven
...unterwegs auf TS2017 und EEP13(14) - fahren und bauen.

Karsten Pohl

German Railroads

  • »Karsten Pohl« ist der Autor dieses Themas

Beiträge: 1 755

Registrierungsdatum: 8. Juni 2003

Wohnort: Wedel bei Hamburg

  • Nachricht senden

12

Dienstag, 23. Mai 2017, 21:51

Der Angriff kam in den Morgenstunden

Hallo,

die von Achim aufgezeigten Fälle tauchen immer dann in der »Wer ist online?«-Liste auf, wenn ein Gast die entsprechenden Seiten aufruft. Statt des regulären Inhaltes der Seite bekommt ein Gast aber nur die folgende Meldung gepaart mit einem Anmelde-Dialog zu sehen:

Der Zutritt zu dieser Seite ist Ihnen leider verwehrt. Sie besitzen nicht die notwendigen Zugriffsrechte, um diese Seite aufrufen zu können.

Der eigentliche Inhalt der Seite wird serverseitig nicht ausgeliefert.

Auf diese Weise wird verhindert, dass jemand mit einem sog. Deep-Link ins Forum "einbricht".

Die Gültigkeit eines Logins und die Zugriffsrechte werden übrigens bei jedem einzelnen Seitenaufruf überprüft.

Wer mag, kann sich ja mal abmelden und als Gast versuchen, Nutzerprofile (z.B. über einen Klick auf den Verfasser eines Beitrages) zu öffnen.

Wenn jemand eine Lücke findet - immer her damit! Keine Software ist perfekt.
Viele Grüße aus Wedel bei Hamburg
Karsten




Menschen hören nicht auf zu spielen, weil sie alt werden - sie werden alt, weil sie aufhören zu spielen. (Oliver Wendell Holmes)

Zeichensetzung kann Leben retten! Dem Henker wird eine Notiz des Königs überreicht: "Tötet ihn nicht begnadigt!"

SvenS

Dienststellenleiter

Beiträge: 159

Registrierungsdatum: 14. April 2013

Wohnort: Leinfelden-Echterdingen

Beruf: IT-Fuzzy

  • Nachricht senden

13

Dienstag, 23. Mai 2017, 22:12

Der Angriff kam in den Morgenstunden

Danke für die Aufklärung!

Gruß Sven
...unterwegs auf TS2017 und EEP13(14) - fahren und bauen.

Persönlicher Bereich