German Railroads Forum

Hallo,

heute Morgen um kurz nach 05:00 wurde unser Server von einer Lawine aus Zugriffen auf unser Forum überrollt. Innerhalb einer Minute griffen tausende "Gäste" auf das Forum zu. Nach etwa einer Minute kollabierte die Datenbank hinter dem Forum, da die Tabellen, die die Sitzungen verwalten, vollgelaufen waren. Die Zugriffe stammten von verschiedenen Rechnern aus dem US-amerikanischen Raum.

Aus Sicherheitsgründen haben wir auch unseren Webshop zeitweise vom Netz genommen, um unsere Kundendaten keinem Risiko auszusetzen. Auf den Webshop haben heute aber keine ungewöhnlichen Zugriffe stattgefunden.

Nach einer Analyse der Datenmassen in den Log-Dateien des Servers konnten die Aktivitäten auf drei verschiedene, bösartige Bots reduziert werden, die versuchten, Unfug auf unserem Webserver zu veranstalten.

Nachdem die Anfragen der Bots in der Konfiguration des Webservers für alle German Railroads Angebote ins "Leere" geschickt wurden und die Datenbank des Forums wieder zum Laufen gebracht wurde, gingen das Forum und der Webshop am Nachmittag wieder online.

Mittlerweile werden auch alle Verbindungsversuche der am Angriff beteiligten Rechner direkt an der Firewall unseres Servers abgeblockt.

Auch wenn die Angriffe an unserem Server derzeit abprallen, so belasten sie die Netzwerkanbindung und kosten Bandbreite. Es sind nach wie vor einige hundert Verbindungsversuche in der Minute. Dagegen sind wir machtlos, aber die Angreifer werden wohl bald das Interesse verlieren, wenn sie ständig gegen die Wand laufen.

Hallo,

ich denke, dass der Angriff gestern auf unsere Server und der Angriff heute auf die Deutsche Bahn nicht zwangsläufig im Zusammenhang stehen.

Der Cyberangriff auf die Bahn nutzt gezielt eine Sicherheitslücke in Windows aus. Der GR-Server läuft jedoch mit Linux.

Die Bots, die sich gestern auf das Forum gestürzt haben, haben gezielt versucht, in die Nutzerprofile der Mitglieder dieses Forums einzudringen. Diese Bots sind in Fachkreisen als aggressive Datensammler bekannt, die versuchen, über Lücken an persönliche Daten zu gelangen, die dann per Verkauf Dritten angeboten werden.

Soweit ich das bisher überblicke, haben sich diese Bots durch die Beiträge des Forums gewühlt und versucht, über den in den Beiträgen befindlichen Link zum Profil des jeweiligen Verfassers zu gelingen. Dies gelingt in diesem Forum allerdings nicht, wenn man sich als "Gast" durch das Forum bewegt, was die Bots taten. Hier kann man wohl nicht von einer gut durchdachten Aktion, sondern einer Hoffnung auf einen Zufallstreffer sprechen.

In den Protokollen des Servers finden sich keine Hinweise auf anderweitige Aktivitäten.

Die Bahn hat es dagegen wohl mit einem Verschlüsselungstrojaner zu tun.

Hallo Sven,

diese Regeln sind sicherlich sinnvoll und die Vergangenheit hat gezeigt, dass einige - auch große Anbieter - recht sorglos mit den ihnen anvertrauten Daten umgehen. Der Fall "Yahoo" wäre solch ein Beispiel. Hier gelang es im Sommer 2012 Hackern in die Nutzerdatenbank einzubrechen und fast eine halbe Million Nutzerdaten nebst unverschlüsselten (!) Passworten auszulesen und zu veröffentlichen (Link). Soweit bekannt wurden 2013, 2014 und 2016 über 1,5 Milliarden weitere Datensätze gestohlen...

Bei der GR gibt es (leider) keine Milliarde Kundendaten. Trotzdem (oder gerade deswegen) liegt mir die Sicherheit der persönlichen Daten sehr am Herzen.

Für die Tekkies unter Euch: Passworte werden bei der GR mit einem Salt versehen und als Hash gespeichert. Das Verfahren ist vielfach beschrieben und über Tante Google zu finden.

Auch wenn für mich die Absicherung des Servers höchste Priorität hat, kann es keinen absoluten Schutz geben. Aber es ist wie mit einem Haus: Kriminelle suchen sich möglichst leichte und attraktive Ziele aus. Die GR ist klein, recht unbedeutend und gut gesichert. Es ist aber erschreckend, wie viele Server im Internet stehen, deren Türen offene Scheunentore sind.

Hallo,

die von Achim aufgezeigten Fälle tauchen immer dann in der »Wer ist online?«-Liste auf, wenn ein Gast die entsprechenden Seiten aufruft. Statt des regulären Inhaltes der Seite bekommt ein Gast aber nur die folgende Meldung gepaart mit einem Anmelde-Dialog zu sehen:


Der eigentliche Inhalt der Seite wird serverseitig nicht ausgeliefert.

Auf diese Weise wird verhindert, dass jemand mit einem sog. Deep-Link ins Forum "einbricht".

Die Gültigkeit eines Logins und die Zugriffsrechte werden übrigens bei jedem einzelnen Seitenaufruf überprüft.

Wer mag, kann sich ja mal abmelden und als Gast versuchen, Nutzerprofile (z.B. über einen Klick auf den Verfasser eines Beitrages) zu öffnen.

Wenn jemand eine Lücke findet - immer her damit! Keine Software ist perfekt.